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管 人 们 已 经 认识 到 终端 是 网 络 中 大 部 分 行为 的 源头 和 起 点 , 是 最 终 的 
端点 ， 并 且 认 识 到 终端 安全 是 网 络 与 信息 安全 管理 的 重要 内 容 ， 因 此 采用 了 
大 量 产品 和 技术 解决 所 面临 的 终端 安全 问题 ， 但 终端 仍旧 屡屡 发 生 “问题 ” 
其 原因 在 于 现 有 产品 的 技术 工具 色彩 浓厚 ， 单 一 功能 性 强 ， 整 体 性 不 足 。 本 
书 作 者 在 多 年 实践 经 验 的 基础 上 , 提出 终端 安全 管理 的 实质 就 是 终端 安全 风 
险 管 理 ， 并 系统 地 冰 述 了 管理 的 关键 是 “管理 自动 化 ”的 观点 。 本 书 从 实际 
出 发 ， 基 于 信息 安全 风险 评 佑 理论， 介绍 可 识别 和 分 析 的 终端 安全 风险 ， 构 
建 结构 性 的 终端 安全 风险 体系 ， 基 于 管理 自动 化 的 原则 , 构建 终端 安全 管理 
体系 的 方法 。 本 书 有 助 于 读者 摆脱 终端 安全 管理 工作 中 面向 威胁 被 动 防护 的 
局 面 ， 构 建 更 为 有 效 的 面向 OD 
本 书 特别 适合 用 作 信 息 安 人 全、 计算机、 通信 、 电 子 工程 等 领域 的 科技 人 
ee et rm 
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信息 革命 是 当今 世界 发 展 的 大 趋势 ， 我 国信 息 化 也 正 快速 发 展 ， 极 大 地 促进 独 国 民 经 谤 
和 社会 的 发 展 。 但 与 此 同时 ， 信 息 安 全 也 成 为 全 球 关 注 的 焦点 。 

音 息 安全 保障 是 多 层次 的 复杂 系统 ， 其 中 终端 是 网 络 安全 行为 的 源头 ， 是 安全 防范 的 重 
点 。 据 IDC 统计 ， 对 于 企业 来 说 ， 来 自 内 部 终端 的 安全 威胁 占 整个 安全 威胁 的 70% 以 上 。 由 
于 企业 内 部 终端 数量 多 ， 人 员 系 质 不 同 、 流 动 性 大 ， 而 产生 病毒 泛滥 、 终 站 滥用 资源 、 非 授 
权 访 问 、 恶 意 终端 破坏 、 信 息 汇 密 等 安全 事件 不 胜 枚 举 ;， 政府 部 门 也 出 现 了 不 少 的 终端 安全 
事件 。 

终端 设备 的 多 样 性 和 复杂 性 ， 以 及 安全 产品 和 服务 的 频 党 更 新 ， 都 使 终端 安全 问题 变 得 
十 分 复杂 ， 而 头痛 医 头 、 脚 痛 医 脚 的 安全 防范 策略 是 无 法 解决 终端 安全 问题 的 。 

在 本 书 中 ， 作 者 根据 多 年 安全 管理 实践 经 验 ， 体 会 到 终端 安全 管理 的 实质 就 是 终端 安全 
风险 管理 ， 终 端 安全 管理 工作 应 以 风险 管控 为 主线 。 

作者 采用 分 级 分 类 的 方法 构建 了 终端 安全 风险 体系 ， 阐 述 了 终端 安全 风险 内 容 ， 从 全 生 
命 周 期 、 全 过 程 和 重要 对 象 保 护 三 个 方面 出 发 建立 终端 安全 风险 管理 体系 ， 力 争 做 到 终端 安 
全 管理 工作 “可 知 、 可 控 、 可 管 ”。 

本 书 把 “终端 安全 风险 体系 ”和 “终端 安全 风险 管理 ”二 者 在 “ 防 管 一 体 化 ”的 思想 指 
导 下 统一 起 来 ， 构 建 终端 安 全 平台 ， 对 信息 安全 工作 者 具有 借鉴 意义 。 
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1946 年 ， 在 美国 宾夕法尼亚 大 学 的 莫 尔 电气 工程 学 院 揭幕 典礼 上 ， 一 个 占 地 面积 达 170 
多 平方 米 、 重 约 30 吨 的 庞然大物 ， 为 来 宾 量 现 了 一 场 精彩 的 “表演 ”一 一 在 1 秒 钟 内 进行 
了 5000 次 加 法 运算 ， 这 比 当时 最 快 的 继电器 计算 机 的 运算 速度 要 快 1000 多 倍 。 这 个 庞 然 大 
物 _ENIAC 的 完美 亮相 ， 不 仅 使 得 来 宾 们 喝彩 不 已 ， 也 开启 了 科学 计算 的 大 门 ， 成 为 人 
类 进入 信息 时 代 的 重要 标志 。1969 年 ， 互 联网 的 到 来 ， 又 将 人 类 带 入 了 以 计算 机 网 络 为 核心 
的 信息 时 代 。21 世纪 的 今天 ， 计 算 机 已 经 成 为 社会 生产 和 生活 中 必 不 可 少 的 工具 。 

随 着 互联 网 在 全 世界 的 迅猛 发 展 和 广泛 应 用 ， 网 络 也 成 为 了 悬 在 人 们 头 上 的 达 摩 克 利 其 
之 剑 ， 危 机 和 风险 无 处 不 在 ， 信 息 安全 问题 越 来 越 严 重 。 一 则 来 自 网 上 的 报道 说 :“ 去 年 夏 
天 ， 在 拉 斯 维 加 斯 举行 的 DefCon 黑客 安全 会 议 上 ， 两 名 安全 顾问 在 一 屋子 黑客 和 计算 机 安 
全 专家 面前 ， 演 示 了 如 何 用 6 美元 和 几 行 代码 就 攻击 并 占领 了 一 家 公司 的 网 站 两 个 小 时 ”。 
这 个 案例 在 让 我 们 震惊 的 同时 ， 也 让 我 们 感到 了 潜在 的 危机 。 在 数字 化 、 网 络 化 的 今天 ， 网 
络 上 早 就 难 有 秘密 可 言 ， 网 络 已 经 将 我 们 变 得 透明 。 不 过 ， 这 并 不 可 怕 ， 世 界 上 很 多 的 事情 
都 大 抵 如 此 ， 可 怕 的 是 我 们 对 此 毫 无 防备 ， 却 主动 一 头 扎 进 了 陷阱 里 ， 还 落 然 不 知 。 其 实 ， 
从 电脑 诞生 的 那天 起 ， 信 息 安全 就 已 经 和 它 形影不离 ， 但 是 ， 从 来 没有 像 今天 这 样 备 受 瞩 
目 ， 这 样 被 广泛 重视 。 

“千里 之 行 始 于 足下 ”， 解 决 信息 安全 问题 ， 就 要 从 基础 和 源头 入 手 ， 从 每 个 人 使 用 的 计 
算 机 一 一 终端 开始 。 因 为 ， 终 端 不 仅 关系 着 个 人 和 单位 的 信息 安全 ， 同 时 终端 也 是 网 络 的 边 
界 ， 影 响 着 单位 整个 网 络 的 信息 安全 。 因 此 ， 终 端 安全 是 信息 安全 的 基石 ， 关 注 终端 安全 ， 
就 是 关注 信息 安全 ， 从 使 用 者 开始 着 手 ， 防 患 于 未 然 ， 解 决 终端 安全 风险 ， 也 就 是 解决 了 
“托管 ”于 使 用 者 的 网 络 边界 的 潜在 危机 。 

本 书 从 终端 安全 管理 及 其 发 展 、 终 端 安全 风险 分 析 、 终 端 安全 风险 管理 体系 及 其 实现 和 
终端 安全 风险 行业 化 管理 及 应 用 案例 四 个 方面 ， 对 终端 的 安全 管理 做 了 详细 盖 述 和 分 析 ， 并 
探索 性 地 提供 了 终端 安全 在 实际 应 用 和 行业 型 单位 中 的 解决 方案 。 书 中 提出 终端 安全 管理 就 
是 风险 管理 的 新 理念 和 以 风险 管控 为 主线 的 新 方法 ， 对 以 前 终端 安全 管理 工作 中 存在 的 问题 
和 弊端 进行 了 深入 分 析 ， 力 求全 面 系 统 地 展现 终端 安全 问题 的 来 源 和 发 展 方向 ， 对 终端 安全 
体系 和 分 类 的 构建 方法 作 了 介绍 ;通过 终端 “全 生命 周期 ”的 风险 分 析 ， 围 绕 安全 重要 对 象 
保护 和 风险 全 过 程 管理 ， 建 立 风险 管理 体系 ， 力 争 实现 终端 安全 风险 的 “可 知 ， 可 控 ， 可 
管 "。 本 书 倡导 以 安全 效益 为 导向 ， 以 国家 相关 信息 安全 法 律 法 规 为 依据 ， 以 终端 安全 规范 
建立 为 基础 ， 以 终端 安全 管理 工作 自动 化 开展 为 目标 ， 以 信息 化 为 手段 ， 建 立 “ 防 管 一 体 
化 ”的 终端 安全 平台 ， 实 现 终端 安全 从 “三 分 技术 ， 七 分 管理 ”转向 “七 分 技术 ， 三 分 管 
理 ” 强调 了 技术 支撑 的 必要 性 ， 提 出 了 技术 支撑 的 着 眼 点 和 沙 脚 点 。 书 中 还 构建 “终端 安 
全 风险 体系 ”和 “终端 安全 风险 管理 体系 ” 提出 了 建设 “终端 安全 防护 平台 ” 建立 终端 安 
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全 管理 基础 ， 及 时 发 现 、 评 估 和 防护 风险 ， 通 过 “机 人 ”自动 交接 ， 实 现 从 安全 防护 到 安全 
管理 的 过 渡 衔 接 ; 提出 了 建设 “终端 安全 管理 平台 ”建立 终端 安全 管理 架构 、 管 理 策略 、 
残余 风险 处 理 和 安全 日 常 运 维 监 控 等 体系 ， 形 成 终端 安全 管理 工作 规范 ， 强 调 安全 重点 对 
象 、 重 要 风险 的 管控 和 分 析 ， 建 立 终 端 安 全 保护 基线 。 通 过 “ 防 管 一 体 化 ”终端 安全 平台 的 
建设 ， 努 力 实现 能 规避 的 风险 目 动 防护 ， 不 能 规避 的 风险 ， 在 风险 发 生 之 前 ， 降 低 风险 级 
别 ， 减 少 风 险 发 生 次 数 ， 在 风险 发 生 之 后 ， 降 低 风险 损失 ， 缩 短 风险 影响 时 间 ， 实 现 现 有 终 
端 安全 从 和 被动式 管理 癌 主 动 式 管理 的 转变， 保障 终端 安全 的 有 序 和 全 面 系统 管理 。 

知己 知 彼 ， 方 能 百 战 不 列 。 作 者 编写 本 书 的 目的 是 为 了 让 读者 从 不 同 角度 、 不 同 层 面 去 
认识 和 了 解 终端 安全 ， 在 信息 安全 风 其 来 临 前 ， 有 一 个 充分 的 准备 。 期 望 本 书 能 成 为 读者 了 
解 信息 安全 知识 的 一 个 窗口 ， 开 拓 现 代 科 技 事 业 的 一 条 纽带 ， 让 终 病 安全 风险 管理 为 人 类 享 
受 科技 生活 保 芍 护航 。 

本 书 编撰 过 程 中 得 到 了 各 方面 的 大 力 文 持 ， 特 别 是 江苏 省 地 方 税务 局 ， 江 苏 省 盐城 地 方 
税务 局 和 北京 天 融 信 公司 等 单位 的 倾 力 协助 ， 鸣 谢 “〈 不 分 先后 ): 赵 连 才 、 刘 斯 衬 、 孙 艳 、 
朱 惠 林 、 刘 红 霞 、 罗 秀春 、 朱 俊 龙 、 徐 小 兵 、 侃 习 同 、 钱 和 大 、 黄 春 完 、 叶 杨 、 惠 喜 赋 、 张 凌 
云 、 刘 扬 、 张 铁 镍 、 熊 狼 、 唐 宁 、 杨 燕 条 、 刘 勇 、 杨 圣 峰 、 汤 泰 易 、 高 品 、 周 国 华 、 康 新 
强 、 章 露 、 李 小 刚 、 毕 向 阳 、 李 林 、 杨 光 、 黄 善 宇 、 魏 琪 、 户 喜 、 孙 艳丽 、 杜 营 、 秦 其 刚 、 
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栋 、 吴 之 奇 、 朱 启 坤 。 
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“终端 安全 管理 ”的 现在 和 未 来 
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偶然 一 个 机 会 听 了 一 堂 营销 管理 的 讲座 ， 讲 师 重点 讲解 的 是 “终端 营销 ”的 方法 。 其 中 
“终端 ”是 指 与 消费 者 直接 发 生 买卖 关系 的 经 营 场所 ， 即 销售 给 最 终 客户 的 卖场 、 商 家 ， 是 
流通 环节 的 最 后 一 环 ， 是 产品 的 投放 地 ， 如 大 型 物流 中 的 沃尔玛 、 家 乐 福 、 国 美和 苏宁 都 属 
于 “终端 ”在 营销 领域 谁 控制 了 销售 终端 ， 谁 就 找到 了 创造 企业 价值 的 通路 。 图 1-1 为 营 
销 终端 示意 图 。 


品牌 直 莒 店 
(营销 终端 ) 


超市 经 销 商 
(营销 终端 ) 


一 级 批发 商 0 
一 一 前 
(营销 终端 ) 


图 1-1 营销 终端 示意 图 


在 通信 行业 ， 也 会 频 楷 听 到 “终端 ”这 个 词 ， 在 这 里 “终端 ” 指 的 是 “移动 终端 ”， 又 
叫做 移动 通信 终端 ， 如 图 1-2 所 示 ， 这 些 终端 通过 通信 网 实现 互联 和 信息 交换 。 顾 名 思 义 ， 
移动 终端 是 指 可 以 在 移动 中 使 用 的 计算 机 设备 ， 广 义 上 包括 手机 、 笔 记 本 、POS 机 、 和 车 载 电 
脑 等 。 在 通信 行业 中 ， 大 多 数 情况 下 终端 指 的 是 智能 手机 。 就 国内 三 大 运营 商 争 先 仆 后 推出 
自己 的 智能 终端 的 情况 看 ， 终 端 在 运营 商 的 心目 中 备 受 关注 。 


图 1-2 ”移动 终端 示意 图 


可 见 ,，“ 终 端 ” 一 词 在 不 同行 业 、 不 同 领域 有 不 同 的 定义 ， 本 书 的 内 容 紧 紧 围 绕 着 “ 终 


认识 终端 与 终端 安全 | 第 1 各 


端 ” 展 开 。 那 么 “终端 ”概念 最 早出 现在 何 时 呢 ? 本 书 中 的 “终端 ”有 具体 指 什么 呢 ? 

让 我 们 回 到 40 多 年 前 。 

1969 年 ， 为 了 军事 研究 的 需要 ， 在 ARPA 资助 下 ，ARPA net 于 1969 年 投入 使 用 ， 由 此 
现代 计算 机 网 络 产 生 ， 随 之 ， 计 算 机 被 分 为 主机 (Host〉 和 终端 (Terminal)。 当 时 的 主机 通 
常 指 大 型 机 或 功能 较 强 的 小 型 机 ， 而 终端 则 是 指 一 种 计算 机 外 部 设备 ， 是 一 种 字符 型 设备 ， 
包括 多 种 类 型 。 图 1-3 中 展示 了 工作 人 员 在 早期 的 
字符 终端 设备 上 工作 的 情景 ， 其 中 工作 人 员 面 对 的 
就 是 一 台 字 符 终 端 设备 ， 主 要 作用 是 作为 输入 /输出 
信息 的 展示 ， 实 际 操 作 的 数据 和 相关 的 处 理 是 在 主 
机 上 进行 的 ， 就 是 旁边 的 “大 设备 ”。 

这 个 早期 的 字符 设备 就 是 最 早 的 终端 。 终 端的 
概念 最 早出 现在 计算 机 领域 ， 当 时 的 终端 指 的 就 是 
计算 机 终端 。 随 着 名 字 的 宽泛 化 、 关 联 化 和 象形 
化 ， 终 并 一 词 逐步 被 其 他 领域 引用 并 推广 ， 其 中 就 图 1-3 ”早期 的 字符 终端 设备 
包括 前 面 提 到 的 营销 领域 和 通信 和 领域 。 

早期 计算 机 主要 是 作为 计算 的 工具 被 使 用 。 主 要 应 用 于 科学 计算 、 工 业 过 程 自 动 化 控 
制 和 军事 应 用 《〈 例 如， 雷达 数据 处 理 、 武 器 控制 、 军 事情 报 等 )。 其 中 的 核心 应 用 就 是 计算 
(表现 在 软件 中 计算 指令 使 用 率 高 )。20 世纪 80 年 代 中 期 ， 计 算 机 网 络 和 可 视 化 技术 的 发 
展 使 计算 机 的 应 用 迅速 普及 ， 其 中 心 工 作 已 经 不 是 计算 ， 而 是 逐步 转 为 满足 各 种 用 户 需 要 


的 业务 任务 的 处 理 ， 主 要 是 解决 人 类 活动 所 产生 的 大 量 问题 ， 计 算 机 信息 系统 已 经 纳入 人 
类 活动 的 范围 内 ， 信 息 系 统 使 用 与 人 类 活动 与 行为 有 直接 关系 ， 而 且 关 系 越 来 越 密切 。 许 


多 行业 的 业务 活动 已 经 离 不 开 信息 化 系统 文 持 。 此 时 ， 计 算 机 与 计算 机 网 络 完 全 是 人 类 活 
动 的 工具 。” 

随 着 业务 信息 化 的 推进 ， 终 端 在 业务 专 网 中 大 量 使 用 。 本 书 重点 讨论 的 终端 ， 不 是 泛 指 
计算 机 领域 中 的 所 有 终端 ， 而 是 指使 用 者 在 与 互联 网 隔离 的 业务 专 网 中 直接 使 用 的 设备 和 网 
络 安全 的 发 生 节 点 ， 包 括 PC、 工 作 站 、 服 务 器 、 笔 记 本 等 ， 这 些 终端 共有 的 特征 是 接 入 网 
络 ， 可 以 接收 和 发 送信 息 与 数据 ， 可 以 在 使 用 者 的 操作 下 ， 通 过 操作 系统 产生 网 络 访问 和 数 
据 交 互 ， 可 以 对 网 络 环境 产生 影响 。 


1.2 终 病 的 配件 


终端 在 发 展 过 程 中 ， 一 开始 是 大 型 设备 或 者 项 目的 附属 工具 ， 但 是 随 痢 科技 的 发 展 ， 终 
端 从 设备 的 辅助 和 文 持 角色 ， 逐 渐 转 换 成 了 工作 中 的 主体 角色 ， 而 在 使 用 过 程 中 ， 为 了 弥补 
和 增强 终端 功能 ， 使 用 了 其 他 设备 与 之 配合 ， 这 些 设 备 通 冲 称 为 终端 的 外 部 设备 《简称 外 
设 )。 终 端 外 设 现在 已 经 成 为 了 一 个 规模 庞大 的 产业 ， 拥 有 大 量 的 行业 规范 和 标准 ， 甚 至 反 
过 来 约束 和 影响 终端 的 发 展 。 

终端 外 设 种 类 党 多 、 功 能 多 样 ， 而 且 有 的 设备 还 是 具有 多 种 功能 的 组 合 型 外 设 ， 从 功能 


加 该 段 文字 引 自 届 延 文 完 生 的 《网 络 世 界 白皮书 》。 
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的 角度 来 分 类 ， 外 设 分 为 :输入 设备 、 显 示 设 备 、 打 印 设备 、 外 部 存储 器 和 网 络 设备 ， 
输入 设备 主要 是 指 人 机 交互 类 设备 ， 用 于 其 他 类 型 (文字 、 图 像 、 声 音 等 ) 数据 的 处 理 和 

转换 ， 输 入 到 终端 设备 中 ， 使 得 终端 设备 可 以 继续 处 理 。 输 入 设备 一 般 包 括 键盘 (图 1-4)、 忆 

标 (图 1-5)、 扫 描 仪器 、 手 柄 、 摄 像 设备 等 ， 这 些 设备 的 使 用 是 数据 采集 的 需要 ， 其 设备 本 

身 并 不 会 产生 安全 风险 ， 但 是 使 用 或 者 数据 保存 不 当 就 容易 产生 安全 问题 ， 因 此 人 机 交互 类 

设备 往往 以 数据 跟踪 为 监管 重点 ， 设 备 控制 以 支持 和 兼容 为 主 。 


图 1-4 键盘 图 1-5 鼠标 


显示 设备 主要 是 指 显 示 器 (图 1-6)、 投 影 仪 等 显示 信息 的 设备 ， 用 于 了 解 当前 终端 的 
操作 过 程 和 运行 过 程 。 现 在 终端 设备 往往 需要 复杂 的 操作 和 运行 来 实现 功能 ， 例 如 键盘 输 
入 、 鼠 标 操作 等 ， 如 果 在 没有 显示 设备 文 持 的 情况 ， 基 本 上 有 是 不 可 使 用 的 。 同 样 的 ， 操 作 
之 后 终端 的 运行 过 程 和 运行 结果 也 需要 显示 设备 的 文 持 ， 才 能 全 面 了 解 ， 由 此 可 见 显 示 设 
备 对 于 终端 的 重要 性 。 

打印 设备 主要 是 指 打印 机 (图 1-7)， 打 印 机 是 最 传统 的 外 设 ， 也 是 最 常用 的 外 设 ， 
此 也 是 安全 管理 过 程 中 的 重点 。 打 印 设备 可 以 将 终端 的 数据 转化 成 纸 质 的 信息 ， 可 以 脱离 终 
端 使 用 和 流通 ， 不 受 终端 的 控制 和 监管 ， 在 方便 工作 和 生活 的 使 用 过 程 中 ， 也 增加 了 信息 的 
扩散 和 泄密 的 风险 ， 对 于 打印 设备 的 使 用 情况 和 打印 内 容 的 监管 是 终端 安全 的 重要 内 容 。 


图 1-6 显示 器 图 1-7 打印 机 
外 部 存储 设备 是 终端 使 用 过 程 中 的 有 益 补 充 和 安全 辅助 ， 外 部 存储 设备 解决 了 数据 长 期 
保存 、 安 全 备份 和 快捷 传递 等 问题 。 从 经 济 角 度 来 看 ， 相 对 终端 内 部 存储 设备 而 言 ， 使 用 低 
速 、 大 容量 和 低 成 本 的 外 部 存储 设备 ， 可 以 有 效 提高 设备 的 实用 性 。 外 部 存储 设备 包括 人 磁带 
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机 、 磁 盘 阵 列 和 移动 存储 设备 ， 其 中 移动 存储 设备 由 于 使 用 灵活 和 携带 便捷 ， 己 经 成 为 现在 
工作 和 生活 中 不 可 或 缺 的 一 部 分 。 移 动 存 储 设 备 的 优点 同样 也 是 其 发 生 安全 问题 的 重大 隐 
患 ， 近 年 由 于 移动 存储 设备 造成 的 泄密 事件 屡见不鲜 ， 对 于 移动 存储 设备 的 监控 也 成 为 终端 
问题 ， 甚 至 成 为 信息 安全 问题 的 重 中 之 重 。 移 动 存储 设备 种 类 多 样 ， 根 据 设备 基础 类 型 分 为 
U 盘 〈 图 1-8) 和 移动 硬盘 (图 1-9) 两 种 类 型 ，U 盘 的 体积 越 来 越 小 ， 容 量 越 来 越 大 ， 正 
是 因为 其 经 济 实用 的 特性 应 用 非常 广泛 。U 盘 的 应 用 广泛 也 带 来 了 管理 上 的 问题 ， 数 据 可 以 
通过 U 盘 进 行 传递 ， 而 U 盘 本 身 的 管理 存在 困难 ，U 盘 的 盗用 和 冒 用 现象 非常 多 ， 通 过 U 
盘 进行 数据 的 非 授权 复制 现象 也 很 难 有 效 控制 。 


& 


图 1-8 品 盘 图 1-9 移动 硬盘 


网 络 设备 是 指 终 端 与 终端 之 间 连 接 在 一 起 的 硬件 实体 设备 ， 包 括 调 制 解 调 器 
(Modem)、 人 和 集线器 (Hub)、 交 换 机 、 路 由 器 (图 1-10)、 防 火 墙 等 ， 网 络 设备 除了 可 以 完成 
网 络 连 通 的 基础 功能 之 外 ， 还 可 以 通过 网 络 准 入 、 网 络 过 滤 等 方式 解决 网 络 安全 问题 。 
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图 1-10 路 由 器 


1.3 ”终端 所 处 的 环境 


从 单一 终端 出 发 分 析 终 端的 使 用 环境 时 ， 可 分 为 其 自身 的 运行 环境 和 终端 应 用 的 网 络 
环境 。 
终端 自身 运行 环境 包括 Windows 类 操作 系统 、 非 Windows 类 操作 系统 ， 通 常 被 称 为 
Windows 类 终端 和 非 Windows 类 终端 。 
Microsoft 公司 推出 的 Windows 类 操作 系统 以 其 友好 易 用 的 人 机 交互 界面 ， 在 推动 终端 
的 普及 过 程 中 起 到 了 决定 性 的 作用 ， 因 此 其 在 商务 和 家 庭 用 户 终端 操作 系统 中 占 比 最 大 。 目 
前 ， 国 内 主要 的 工作 终端 运行 操作 系统 以 Windows 系列 为 主 ， 常 见 的 版 本 有 XP、Vista、 
Win7 等 个 人 版 本 和 NT、2003、2008 等 服务 器 版 本 。2005 年 4 月 25 日 ，Microsoft 公司 在 西 
雅 图 WinHEC 2005 大 会 上 正式 推出 64 位 操作 系统 后 ， 业 务 网 终端 所 使 用 的 操作 系统 逐渐 呈 
现 从 32 位 到 64 位 的 转变 ， 目 前 很 多 企 事 业 单位 在 用 的 终端 操作 系统 的 版 本 有 32 位 和 64 位 
两 种 。 
广大 的 用 户 群 也 使 Windows 类 操作 系统 成 为 黑客 、 恶 意 软 件 最 为 青睐 的 攻击 目标 。 尽 
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管 Windows 操作 系统 在 漏洞 修复 、 系 统 安 全 属性 完善 上 做 了 大 量 的 工作 ， 但 遭受 病毒 、 木 
马 入 侵 等 的 报道 仍 层出不穷 。 

非 Windows 类 终端 主要 指 不 使 用 Windows 类 操作 系统 的 终端 ， 主 要 为 UNIX 类 和 非 
UNIX 类 ，UNIX 类 包括 BSD、Solaris、AIX、HP-UX、Linux， 等 等 ， 非 UNIX 类 包括 
APPLE 公司 的 MAC OS 等 。 非 Windows 类 操作 系统 的 终端 普及 范围 远 远 低 于 Windows 类 终 
端 ， 其 遭受 的 攻击 也 远 远 少 于 Windows 类 系统 。 

网 络 的 普及 和 业务 信息 化 的 趋势 ， 使 终端 的 使 用 从 个 体 独 立 运行 逐渐 转变 为 集群 协作 ， 
无 论 是 工作 协调 还 是 信息 传递 ， 单 一 终端 独立 工作 的 情况 越 来 越 少 ， 终 端 之 间 的 影响 也 越 来 
越 大 ， 终 端 在 所 处 环境 中 与 其 他 终端 之 间 的 联系 也 越 来 越 紧密 。 网 络 有 很 多 种 ， 包 括 从 网 卡 
直 连 的 对 等 互 访 ， 到 网 络 设备 连接 的 小 型 局 域 网 ， 再 到 网 络 链 路 组 成 的 专 网 和 互联 网 。 在 这 
些 网 络 中 ， 专 网 的 安全 性 问题 最 为 引 人 关 注 。 在 实现 业务 的 专 网 中 ， 计 算 机 终端 是 网 络 中 大 
部 分 行为 的 源头 和 起 点 ， 也 是 安全 问题 〈 如 病毒 传播 、 从 内 部 发 起 的 恶意 攻击 、 内 部 保密 数 
据 盗用 或 失窃 等 ) 发 生 的 源头 。 对 每 个 单位 来 说 ， 终 端 安全 管理 都 是 非常 重要 的 ， 良 好 的 终 
端 安 全 控制 技术 能 够 保证 企业 的 安全 策略 真正 得 到 实施 ， 从 而 有 效 控制 各 种 非法 安全 事件 ， 
过 制 网 络 中 屡 禁 不 绝 的 恶意 攻击 和 破坏 。 

终端 的 使 用 环境 ， 可 以 从 广义 和 狭义 两 个 角度 来 看 ， 狭 义 的 终端 环境 ， 指 单一 终端 自身 
的 操作 系统 和 所 处 的 网 络 情况 ， 即 终端 环境 包括 终端 自身 的 运行 环境 和 终端 应 用 的 网 络 环 
境 : 从 广义 上 看 ， 所 有 终端 所 处 的 网 络 环境 也 同样 是 终端 环境 ， 差 别 在 于 广义 上 终端 不 是 独 
立 的 个 体 ， 而 是 所 有 环境 中 的 一 个 影响 因素 ， 并 且 互 相 作 用 和 影响 。 
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对 于 企 事 业 单 位 而 言 ， 接 入 其 业务 网 络 的 终端 包括 其 自 有 终端 和 外 来 终端 两 种 。 终 端的 
使 用 者 就 其 与 接 入 网 络 的 企 事 业 单 位 之 间 的 关系 可 分 为 内 部 人 员 、 临 时 人 员 和 外 来 人 员 3 大 
类 。 就 这 3 类 人 员 在 实际 工作 中 所 承担 的 工作 不 同 ， 对 于 终端 的 使 用 方式 和 操作 内 容 也 不 
同 ， 可 对 这 3 类 人 员 进 行 细 分 。 

内 部 人 员 通 常 包 括 管理 人 员 、 业 务 人 员 、 网 络 /系统 省 理 员 3 类 ; 临时 人 员 主 要 指 在 一 
些 辅助 岗位 工作 的 人 员 ; 外 部 人 员 包 括 单位 所 在 系统 内 的 外 来 人 员 、 上 广 商 运 维和 人员 等 。 

不 同 的 人 员 涉 及 的 终端 类 型 不 同 ， 参 见 表 1-1。 


表 1-1 终端 使 用 者 -管理 规范 对 应 表 


终端 使 用 者 使 用 终端 设备 操作 内 容 


业务 系统 
固定 终端 设备 公文 
个 人 信息 
公文 
个 人 信息 
业务 系统 
公文 
外 部 信息 
个 人 信息 


移动 终端 设备 


固定 终端 设备 
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终端 使 用 者 使 用 终端 设备 操作 内 容 


公文 
业务 人 员 移动 终端 设备 外 部 信息 
个 兰 自 
i 已 | 人 信 DO 
内 部 人 员 JR 
网 络 / 系 统管 理 人 固定 终端 设备 资产 信息 
网 络 管理 系统 


公文 
nA Wit A A 
个 人 信息 

ga 外 部 信息 


外 部 信息 
网 络 管理 系统 
专业 工具 软件 
个 人 信息 
业务 系统 
公文 

外 部 信息 
个 人 信息 


公文 
自 带 移动 PC 设备 外 部 信息 
个 人 信息 
i 


4C1)“ 固 定 终端 设备 ” 指 组 织 配 备 的 固定 共 公 用 业务 终端 或 者 公共 终端 设备 ， 包 括 PC 
和 服务 器 。 

(2)“ 移 动 终端 设备 ” 指 组 织 配 备 的 可 移动 办 公 的 移动 终端 设备 ， 如 笔记 本 电脑 。 

(3)“ 目 市 移动 终 并 设备 ” 指 非 组 织 配 备 的 可 移动 办 公 终 端 设备 ， 如 笔记 本 电脑 。 
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计算 机 网 络 技术 迅速 发 展 ， 网 络 应 用 快速 普及 ， 使 办 公信 息 化 成 为 一 种 趋势 。 得 益 于 终 
端 和 网 络 的 文 撑 的 “无 纸 办 公 ”， 一 方面 带 来 了 管理 的 规范 化 ， 提 高 了 整体 的 工作 效率 ; 男 
一 方面 因为 网 络 与 生 俱 来 的 安全 性 问题 带 来 诸多 安全 问题 的 困扰 。 

We 逐渐 认识 到 在 网 络 攻击 面前 最 薄弱 的 环节 和 最 容易 
出 现 问题 的 地 方 是 终端 ， 终 端 是 人 类 世界 与 网 络 世 界 的 接口 ， 是 真正 的 网 络 边界 。 终 端 作为 
网 络 行为 的 发 起 者 和 执行 者 ， 终 端 安全 问题 是 信息 安全 领域 的 重要 组 成 部 分 。 终 端 安全 已 经 
成 为 制约 信息 安全 的 瓶颈 ， 尽 管 在 安全 技术 和 培训 中 已 经 投入 了 大 量 人 力 和 资金 ， 但 终端 安 

有 具体 面临 着 哪些 安全 问题 呢 ? 

日 人 入 端 使 用 中 常见 到 以 下 几 种 现象 。 

现象 1: 终端 使 用 中 ， 基 本 配置 工作 ,“ 去 繁 就 简 ”。 

“每 次 开机 都 要 输 密 码 ， 太 麻烦 了， 设置 为 空 ， 很 方便 的 。” 

“离开 一 会 儿 给 电脑 锁 屏 ， 回 来 还 得 重新 登录 ， 不 方便 ， 我 离开 从 来 不 锁 屏 。 屏 保 也 不 


厂商 运 维 人 员 


自 带 移动 终端 设备 


外 部 人 员 
国定 PC 设备 


系统 内 外 来 人 员 


SO 终 演 安全 风险 管理 
设 密码 。” 
“微软 又 出 了 好 多 补丁 ， 打 起 来 真 慢 ， 还 有 很 多 工作 要 做 ， 稍 晚 几 天 再 说 吧 。” 
现象 2: 运行 使 用 中 ， 我 行 我 素 。 
“单位 电脑 上 有 人 炒股 软件 和 游戏 ， 不 忙 的 时 候 ， 午 休 的 时 候 可 以 玩 会 儿 ， 或 看 一 下 ， 我 
这 是 工作 生活 两 不 误 啊 ， 哈 哈 !” 
“明天 要 交 的 文件 没 写 完 ， 带 笔记 本 回 家 写 ， 写 完了 正好 可 以 在 家 里 上 上 了 网， 下载 点 儿 
资料 。” 
现象 3: 关注 应 用 ， 忽 视 了 数据 。 
“OA 系统 账号 忘 了 ， 要 下 载 个 文件 ， 借 用 一 下 你 的 账号 。” 
终端 所 发 生 的 安全 问题 可 简单 归结 为 3 类 。 
(1) 基础 安全 问题 
终端 自身 软 、 硬 件 (图 1-11) 使 用 时 所 出 现 的 安全 问题 ， 这 些 问题 的 发 生 与 是 否 接 入 
网 络 无 关 。 
基础 类 安全 问题 至 少 可 包括 : 
v 操作 系统 安全 性 
v 操作 系统 的 补丁 和 漏洞 
v 操作 系统 账号 密码 修改 周期 
v 操作 系统 账号 密码 复杂 度 
v 操作 系统 账号 密码 长 度 
v 操作 系统 运行 进程 的 安全 性 
v 操作 系统 支持 的 外 设 启 / 停 
v CPU 占用 
内 存 占用 
硬盘 占用 
端口 占用 
多 网 卡 使 用 安全 性 
共享 文件 
进程 使 用 安全 性 
性 能 使 用 安全 性 
外 设 使 用 安全 性 
密码 口令 安全 性 
网 络 资源 安全 性 
IP 使 用 安全 性 
w MAC 使 用 安全 性 
(2) 运行 安全 问题 
终端 接 入 网 络 (图 1-12) 后 ， 在 使 用 中 所 出 现 的 安全 问题 ， 这 些 问题 是 终端 接 入 网 络 
中 时 发 生 的 。 
终端 在 连接 入 网 运行 中 ， 至 少 会 遇 到 以 下 问题 : 
v 网 络 运行 安全 性 


人 人 人 人 人 人 人 人 人 人 人 人 人 人 人 人 人 人、 


or 
一 -一 一 一 一 一 一 


显卡 ”CPU 硬盘 驱动 器 


图 1-11 硬件 图 1-12 终端 接 入 网 络 
v 终端 产生 的 流量 对 网 络 的 安全 性 
Vv 终端 访问 远程 主机 的 方式 对 网 络 的 安全 性 
w 网 络 信息 安全 性 
w 网 络 内 IP 和 MAC 的 安全 使 用 
v 终端 运行 安全 性 
v 终端 使 用 的 进程 安全 性 
v 终端 使 用 的 服务 安全 性 
v 终端 使 用 的 操作 系统 性 能 安全 性 


(3) 信息 安全 问题 

与 终端 上 所 操作 的 信息 的 安全 相关 的 问题 ， 这 些 问题 发 生 时 将 直接 影响 终端 所 操作 或 存 
储 信息 的 机 密 性 、 可 用 性 或 完整 性 。 

v 边界 控制 安全 性 

v 非法 内 联 安全 性 

v 变更 使 用 安全 性 

v 终端 变更 使 用 者 安全 性 
终端 变更 使 用 范围 安全 性 
终 问 转 网 安全 性 
言 轧 的 扩散 和 泄密 
终端 上 重要 文件 的 操作 安全 性 
终端 上 重要 文件 的 管理 安全 性 
终 剖 上 移动 存储 设备 使 用 安全 性 
管理 类 风险 
管理 人 员 操 作 安 全 性 
管理 工具 安全 性 
监控 信息 安全 性 


人 人 人 人 人 人 人 人 人 人 人、 
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2.1 终 问 安全 管理 到 弃 是 什么 


自 1946 年 2 月 ， 第 一 台电 子 计算 机 ENIAC 在 美国 宾 州 问世 以 来 ， 短 短 几 十 年 时 间 ， 计 
算 机 在 人 类 社会 里 经 过 了 电子 管 时 代 〈1946 一 1959 年 )、 晶 体 管 时 代 〈1960 一 1964 年 )、 集 
成 电路 时 代 〈1965 一 1970 年 )、 大 规模 集成 电路 时 代 〈1971 年 至 今 )。4 个 时 代 更 迭 ， 技 术 也 
在 不 断 创新 。 

进入 20 世纪 70 年 代 以 来 ， 伴 随 着 计算 机 技术 的 迅猛 发 展 ， 一 大 批 先 驱 为 打破 美国 政府 
和 和 军事 工业 集团 对 计算 机 技术 的 人 垄断， 开始 打造 个 人 计算 机 (PC)， 其 中 就 包括 乔布斯 和 盖 
次 ， 使 计算 机 的 发 展 、 人 类 的 生活 方式 和 通信 的 有 效 手段 得 到 了 跳跃 式 的 进步 。 这 些 早期 的 
计算 机 技术 爱好 者 既 推动 了 计算 机 技术 的 飞跃 发 展 ， 也 为 计算 机 和 信息 安全 埋 下 了 一 颗 不 小 
的 定时 炸弹 。 

1988 年 ， 一 个 年 轻 有 为 的 美国 热血 青年 英里 斯 ， 为 发 洪 对 美国 经 济 和 政府 的 不 满 ， 炫 
灼 强 大 的 才能 ， 编 写 了 “Morris 蠕虫 ”病毒 ， 人 致使 近 6000 台 计 算 机 瘫痪 ,涉及 军队 、 政 
府 、 医 疗 和 金融 等 多 个 行业 ， 而 他 的 父 杀 就 是 美国 安全 局 (NAS) 从 事 计算 机 研究 的 专家 。 

同年 ， 美 国 还 发 生 了 入 侵 “ 星 球 大 战 ” 项 目 事件 。 

一 系列 安全 事件 后 ， 在 美国 政府 的 资助 下 ， 卡 内 基 。 梅 隆 大 学 成 立 了 全 球 第 一 个 计算 机 
应 急 安 全 响应 组 (CERT)。 

随 着 计算 机 在 人 类 生活 各 个 领域 所 扮演 的 角色 日 趋 重要 ， 入 侵 、 病 毒 爆发 和 木马 对 信息 
的 锅 取 等 计算 机 安全 事件 也 日 益 i 业界 对 于 信息 安全 问题 认识 也 不 断 深入 ， 应 对 计算 机 
安全 事件 的 方式 方法 也 不 断 更 新 和 完 

TO 更 新 和 完善 ， 人 们 越 来 越发 现 ， 安 全 问题 最 终 可 归 
结 为 风险 管理 问题 。 信 息 安 管理 体系 的 构建 目的 实际 上 就 是 解决 安全 风险 的 管理 问题 

因此 ， 终 ; ， 骨 安 全 风险 ， 构 建 终端 风险 体系 并 对 终 ? 风险 进 
行 安全 管理 ， 从 而 避免 终端 安全 风险 事件 的 发 生 。 


2.2 ”时刻 准 备 ， 及 时 防护 


经 过 长 时 间 的 探索 和 分 析 ， 我 们 把 计算 机 终端 安全 大 致 分 为 两 方面 ， 分 别 是 计算 机 终端 
的 物理 安全 和 系统 安全 。 

计算 机 终端 的 物理 安全 就 是 计算 机 所 在 物理 环境 的 安全 与 计算 机 自身 人 硬件 的 安全 。 物 理 
环境 安全 就 如 同一 个 人 的 生存 、 生 活 和 工作 环境 ， 环 境 适 宜 ， 心 情 和 工作 都 会 比较 舒畅 ， 环 
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境 恶 劣 的 时 候 人 也 会 生病 。 同 理 ， 计 算 机 也 有 比较 适宜 的 工作 环境 《〈 如 周边 环境 的 湿度 、 温 
度 、 电 压 和 雷击 等 )， 当 环境 的 菏 个 或 多 个 因素 超过 计算 机 的 极限 承受 能 力 时 ， 计 算 机 也 会 
像 人 一 样 “ 生 病 ”。 

计算 机 终端 物理 安全 还 包括 计算 机 各 个 元 器 件 的 目 身 安全 ， 如 硬件 的 自身 损耗 、 人 为 破 
坏 和 被 盗 丢 失 等 。 因 此 ， 计 算 机 的 使 用 过 程 中 就 要 有 对 于 硬件 的 保护 和 维护 工作 。 

随 痢 人 类 科技 实力 的 不 断 提 高 ， 计 算 机 各 个 零 部 件 的 寿命 和 强度 都 有 了 明显 提高 ， 但 因 
为 自 喘 构造 等 特点 ， 一 些 人 硬件 使 用 不 当 极 易 遭 到 破坏 ， 导 致 计算 机 无 法 正常 使 用 。 

目前 ， 计 算 机 已 大 规模 步 入 人 类 文明 生活 的 各 个 方面 ， 对 于 人 类 生活 的 办 公 、 娱 乐 和 学 
习 都 有 着 重大 影响 。 同 时 ， 木 马 和 病毒 在 计算 机 世界 横行 《本 书 将 对 这 些 威胁 进行 详细 介 
绍 )。 因 为 计算 机 存储 了 大 量 的 个 人 、 丙 业 和 和 军事 信息 ， 一 些 不 法 人 员 为 非法 牟取 利益 将 黑 
手 伸 向 了 这 些 终端 ， 盗 取 硬 件 、 施 放 木 马 和 和 恶意 程序 等 ， 无 不 危害 着 计算 机 终端 的 正 宙 使 用 
和 操作 员 的 正常 工作 与 生活 。 

以 上 就 是 对 计算 机 终端 安全 中 物理 安全 性 的 简单 描述 。 计 算 机 终端 安全 的 兄 一 方面 则 是 
系统 安全 ， 是 本 书 重 点 介绍 的 部 分 。 

计算 机 终端 系统 安全 主要 是 操作 系统 相关 技术 和 网 络 安全 技术 两 个 部 分 。 

操作 系统 相关 技术 是 针对 目前 终端 使 用 的 主要 操作 系统 ， 如 Windows、UNIX 等 ， 包 括 
操作 系统 的 驱动 开发 、 信 息 获取 和 接口 调用 等 。 

网 络 安全 技术 包括 网 络 设备 的 相关 接口 开发 、 网 络 信息 的 扫描 和 探测 等 。 

与 终端 安全 相关 的 事件 统称 为 终端 安全 事件 。 有 效 地 区 分 与 终端 安全 相关 的 事件 ， 是 分 
析 终 问安 全 状况 的 首要 工作 和 基础 工作 。 

终端 在 使 用 过 程 中 会 产生 众多 事件 ， 每 一 个 事件 都 有 可 能 与 终端 安全 相关 ， 但 并 不 意味 
着 这 些 内 容 都 属于 终端 安全 事件 范畴 ， 不 对 这 些 时 间 进 行 严 格 的 区 分 、 限 定 和 归并 ， 就 极 可 
能 导致 对 于 终端 安全 的 分 析 工 作 陷 入 误区 。 因 此 记录 终端 和 区 分 终端 产生 的 事件 是 否 属于 安 
全 事件 就 是 终端 安全 工作 需要 完成 的 重要 工作 。 终 端 目 身 产生 的 事件 ， 取 决 于 事件 的 产生 
源 ， 不 可 能 把 所 有 的 事件 全 部 记录 ， 所 以 ， 对 于 终端 安全 的 相关 事件 ， 有 相当 大 的 一 部 分 来 
目 网 络 和 第 三 方 工具 的 分 析 。 

终端 安全 防护 主要 是 建立 在 计算 机 终端 可 能 发 生 风险 的 各 个 方面 的 有 效 管控 ， 通 过 制度 
与 技术 有 效 结合 的 方式 ， 减 少 甚至 杜绝 各 类 风险 事件 的 发 生 ， 针 对 终端 使 用 过 程 中 可 能 发 生 
风险 的 操作 行为 进行 详细 记录 ， 通 过 分 析 之 后 进行 具有 针对 性 的 防护 措施 和 相关 功能 的 管 
控 。 管 控 措 施 如 下 : 

1. 基础 类 防护 措施 

(1) 操作 系统 安全 防护 

对 操作 系统 进行 安全 加 固 ; 关闭 不 必要 的 服务 、 站 口 和 来 宾 组 等 ， 为 不 同 用 户 开 放 不 同 
的 权限 ， 防 正安 装 过 多 应 用 软件 及 病毒 和 木马 程序 的 目 运行 。 

(2) 进程 运行 监控 

对 运行 以 及 试 独 运行 的 进程 与 进程 树 进行 监视 和 控制 ， 防 止 病毒 和 木马 等 恶意 程序 调用 
进程 。 及 时 了 解 操作 系统 开局 服务 与 程序 情况 ， 防 正和 恶意 程序 后 台 运 行 。 

(3) 操作 系统 性 能 监控 

对 操作 系统 内 存 和 CPU 利用 率 等 基本 性 能 的 监控 有 助 于 了 解 对 系统 资源 占用 过 大 的 程 
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序 ， 从 而 鉴定 其 是 否 为 正常 运行 或 正常 程序 ， 有 助 于 对 计算 机 硬件 利用 率 的 掌握 和 硬件 性 能 
的 维护 ， 

(4) 终端 外 设 使 用 监控 

对 终端 外 设 接口 、 外 联 设备 使 用 的 监视 和 控制 能 有 效 地 控制 计算 机 的 资源 利用 率 ， 规 范 
计算 机 资源 使 用 ， 防 止 因 小 用 计算 机 外 接 存储 设备 造成 的 木马 、 病 毒 的 泛滥 传播 等 。 

(5) 操作 系统 密码 口令 检查 

定期 改变 具有 一 定 复杂 度 的 密码 及 密码 策略 可 以 有 效 地 防止 非 授 权 人 员 进 入 计算 机 终 
端 ， 防 止 非法 人 员 窍 取 计 算 机 终端 信息 ， 所 以 ， 对 操作 系统 口令 的 检查 能 有 效 地 督促 计算 机 
终端 设置 合 规 的 用 户口 令 ， 保 证 终端 安全 。 

(6) 网 络 配置 信息 监控 

网 络 配置 信息 包含 计算 机 网 卡 的 MAC、 卫 地 址 和 计算 机 路 由 器 的 接口 信息 等 。 对 网 络 
配置 的 有 效 监控 可 以 及 时 发 现 非 法 接 入 信息 系统 的 非法 终端 ， 防 止 非法 终端 接 入 可 信 网 络 窗 
取信 息 、 传 播 病毒 等 

2， 运 行 类 风险 防护 

(1) 操作 系统 网 络 流量 监控 

对 操作 系统 各 用 户 、 各 时 段 的 流量 监控 可 以 有 效 地 判断 计算 机 内 是 否 存在 程序 、 服 务 在 
上 传 或 下 载 信息 ， 及 时 判断 计算 机 是 否 感染 木马 程序 致使 信息 外 发 ， 或 成 为 共享 服务 站 造成 
信息 泄漏 。 

(2) 操作 系统 网 络 访问 监控 

对 计算 机 终端 进行 的 系统 网 络 访问 控制 能 有 效 地 防止 计算 机 进行 违规 互联 ， 防 止 信息 因 
共享 等 方式 进行 违规 流转 ， 防 止 木马 、 病 毒 在 信息 系统 内 大 规模 爆发 。 

(3) 操作 系统 运行 状态 监控 

对 操作 系统 运行 状态 的 监控 可 有 效 地 了 解 到 计算 机 终端 长 时 间 未 登录 、 企 图 进入 安全 
模式 等 绕 过 行为 ， 监 控 主机 调用 的 端口 、 服 务 等 系统 信息 ， 保 证 计算 机 终端 时 刻 处 于 被 监 
控 状 态 。 

3， 信 息 类 风险 防护 

(1) 安全 准 入 控制 

非法 主机 接 入 可 信 信 息 系统 可 能 导致 内 网 信息 外 泄 、 病 毒 、 木 马 传播 扩散 和 对 内 外 服务 
器 攻击 等 严重 后 果 ， 因 此 对 计算 机 终端 的 安全 防护 中 ， 准 入 控制 是 极为 重要 的 一 项 防护 手段 。 

(2) 终端 使 用 者 变更 监控 

计算 机 终端 可 能 归属 不 同人 员 使 用 ， 不 同 用 户 及 使 用 者 对 计算 机 终端 有 着 不 同 的 操作 
权限 ， 对 于 变更 使 用 者 的 计算 机 终端 应 及 时 改变 资产 所 属 人 员 以 保证 计算 机 使 用 权限 正 
常 ， 资 产 归属 正常 ， 防 止 计算 机 终端 使 用 者 非 授权 登录 、 使 用 计算 机 ， 保 证 计算 机 终端 信 
息 安全 性 。 

(3) 中 心 信息 的 防 扩散 和 防 泄密 监控 

按照 国家 保密 标准 及 等 级 保护 标准 的 明确 规定 ， 应 有 效 控制 信息 的 知悉 范围 ， 明 确信 息 
流向 ， 对 外 浴 信息 进行 安全 回收 ， 对 外 带 便携 式 计算 机 及 移动 存储 介质 进行 外 泄 后 的 信息 清 
除 ， 防 止 设备 再 次 使 用 时 信息 被 违规 恢复 。 因 此 ， 做 好 信息 的 防 扩散 、 防 泄漏 工作 是 非常 必 
要 的 ， 
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4. 管理 类 风险 

(1) 管理 人 员 操 作 监 控 

对 管理 人 员 的 操作 进行 安全 监控 ， 一 方面 规范 了 管理 员 的 操作 行为 ， 另 一 方面 也 使 出 现 
安全 问题 后 的 责任 追查 工作 简单 、 明 确 、 抗 抵赖 。 

(2) 管理 工具 运行 状态 监控 

因 管 理工 具 为 管理 员 所 用 ， 有 着 相 同 的 用 户 权 限 ， 为 防止 管理 工具 内 和 藤 森马、 病毒 等 亚 
意 程 序 ， 针 对 管理 工具 的 状态 监控 ， 可 有 效 防 止 管理 员 在 不 知情 的 状态 下 将 木马 、 病 毒 等 亚 
意 程 序 感染 传播 至 服务 器 等 重要 资源 。 

(3) 监控 信息 实时 分 析 

对 于 监控 信息 ， 应 进行 实时 和 准确 的 分 析 ， 在 第 一 时 间 判 断 安全 事件 的 发 生 所 在 ， 确 定 
问题 所 在 后 进行 快速 啊 应 与 处 理 。 


2.3 ”协调 一 致 ， 全 面 党 理 


终端 安全 管理 是 将 终端 安全 防护 过 程 中 发 现 的 资产 、 脆 弱 性 和 威胁 信息 等 ， 进 行 汇总 、 
沉 理 和 统计 ， 实 现 对 终端 安全 风险 全 生命 周期 的 管理 ， 通 过 对 数据 进行 深度 的 关联 分 析 ， 形 
成 关联 分 析 报 告 ， 为 终端 安全 集 略 的 制定 提供 依据 ;得 看 安全 集 略 全 局 下 及 后 的 终端 安全 风 
险 整 体 状况 ， 为 安全 全 略 的 调整 提供 决策 文 撑 ， 为 不 同 的 用 户 提 供 不 同 的 安全 视 岁 ， 保 证 不 
同 层次 的 用 户 能 够 快速 、 方 便 地 了 解 到 所 关心 的 安全 信息 。 

、 终 疹 安 全 平台 是 终端 安全 管理 体系 的 重要 技术 文 撑 平台 ， 基 于 终 疹 安全 防护 平台 
构建 ， 终 端 安全 管理 平台 在 整个 终端 安全 防护 体系 中 起 到 的 是 “大 脑 ” 的 作用 ， 终 端 安全 防 
dl 0 

由 终 疹 安全 管理 平台 将 防护 策略 下 发 到 终端 安全 防护 平台 ， 终 端 安全 防护 平台 在 继承 管 
理 平 台 策 略 后 ， 按 照相 应 规则 对 计算 机 终端 进行 基于 操作 系统 的 进程 、 服 务 的 监控 、 接 口 及 
外 设 的 监控 、 终 端 资 产 及 变更 管理 、 管 理 员 操作 监控 等 行为 监控 。 一 旦 终端 安全 防护 平台 监 
控 到 安全 事件 的 发 生 ， 便 将 日 志 、 报 警 信息 等 用 送 至 终端 安全 管理 平台 ， 由 终端 安全 管理 平 
台 对 安全 事件 进行 分 析 ， 确 定 终端 安全 事件 根源 所 在 ， 如 非 受 探 终端 私 目 接 入 可 信 信 息 系 
统 。 将 调整 后 的 安全 朱 略 、 相 应 信息 发 送 到 终端 安全 防护 平台 ， 由 各 个 终 病 进行 策略 的 集成 
和 修改 ， 对 安全 事件 进行 再 次 啊 应 。 

经 过 这 样 一 个 由 头 到 手 ， 手 将 信息 反馈 给 头 ， 再 由 头 指挥 手 做 出 相关 反应 的 过 程 ， 就 完 
成 了 一 个 由 安全 管理 平台 、 安 全 防护 平台 联合 进行 的 终端 安全 事件 的 啊 应 过 程 。 


2.4 管理 与 技术 并 举 


技术 无 论 多 成 熟 先进 都 是 为 人 所 用 ， 为 人 服务 的 ， 抠 术 的 好 与 坏 在 非常 大 的 层面 上 都 取 

决 于 使 用 者 ， 也 就 是 说 技术 本 号 并 无 侦 问 性 ， 但 有 了 使 用 者 的 存在 ， 技 术 就 成 了 一 把 双 丸 

剑 。 所 以 在 注重 技术 管理 的 同时 ， 人 们 也 一 直 对 计算 机 信息 系统 进行 人 为 管理 、 人 为 干预 ， 
防止 违法 犯罪 人 员 对 计算 机 及 信息 系统 进行 破坏 ， 从 中 人 牟利 。 

一 直 都 说 “三 分 技术 ， 七 分 管理 ”在 计算 机 省 理 过程 中 的 确 曾 出现 过 类 似 情 况 ， 技 术 
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手段 不 够 成 熟 ， 为 防止 计算 机 信息 系统 遭 到 破坏 ， 为 保护 重要 的 数据 资源 ， 不 得 不 耗费 大 量 
的 人 力 对 计算 机 进行 安全 保护 ， 通 过 人 为 干预 防止 不 法 人 员 对 计算 机 的 破坏 行为 。 

随 着 人 类 科技 实力 的 不 断 提 高 ， 技 术 因素 在 计算 机 防护 工作 中 所 占 比重 日 趋 加 大 。 以 往 
的 “三 分 技术 ， 七 分 管理 ”逐渐 演变 为 “五 分 技术 ， 五 分 管理 "， 直 至 现 阶段 的 “七 分 技 
术 ， 三 分 管理 "。 虽 然 技术 因素 在 计算 机 安全 防护 中 所 占 比例 越 来 越 大 ， 但 是 人 的 因素 仍然 
在 计算 机 安全 防护 中 占有 一 定 比 重 。 

计算 机 技术 发 展 至 今 ， 昌 然 能 解决 遇 到 的 大 部 分 问题 ， 但 是 ， 诸 如 硬件 被 盗 、 摄 影 器 材 
截屏 、 人 为 破坏 等 因素 仍 需 要 管理 人 结合 管理 制度 进行 安全 管理 ， 不 能 完全 依赖 于 技术 。 如 
在 进入 涉 密 程 度 较 高 的 区 域 时 ， 必 须 将 手机 、 照 相机 、PDA 等 智能 设备 和 图 像 处 理 设备 上 交 
且 屏 项 管理 ， 对 于 核心 区 域 ， 应 安排 专职 保安 人 员 进行 全 天 候 值守 ， 安 放 监 控 设备 ， 防 止 不 
法 人 员 侵入 ， 造 成 计算 机 及 数据 流失 ， 规 范 终端 使 用 者 的 使 用 行为 ， 防 止 因 误 操作 将 病毒 和 
木马 带 入 整个 信息 系统 ， 防 止 终端 资源 被 不 合理 利用 。 

作为 一 个 完整 的 防护 体系 ， 在 进行 基于 计算 机 的 技术 防护 、 人 员 管 理 之 外 ， 还 应 建立 起 
一 整套 完整 的 管理 制度 用 以 辅助 人 员 与 技术 管理 。 

一 套 完整 的 管理 制度 应 至 少 包括 ， 人 员 管 理 制度 、 计 算 机 及 信息 使 用 制度 、 密 码 策略 管 
理 制 度 、 资 产 使 用 管理 制度 、 移 动 设备 使 用 管理 制度 、 人 员 奖 征 制 度 和 进入 核心 区 域 管理 制 
度 等 。 制 度 是 由 人 来 制定 的 ， 制 定 相关 管理 制度 后 更 需要 由 管理 人 员 进 行 实施 和 执行 ， 对 韦 
规 人 员 进 行 严肃 处 理 ， 对 于 不 再 适应 形势 的 制度 应 加 以 修改 ， 使 之 被 切实 应 用 。 


2.5 ”其 他 防护 措施 


随 着 人 类 社会 的 进步 ， 科 技 文 明 的 发 展 ， 计 算 机 信息 外 泄 的 途径 也 变 得 多 种 多 样 。 以 上 
介绍 了 关于 计算 机 操作 系统 和 硬件 的 部 分 安全 隐患 和 防范 方式 ， 下 面 对 的 计算 机 所 面临 的 另 
一 方面 安全 威胁 进行 详细 分 析 ， 这 个 威胁 就 是 电磁 泄漏 。 

电磁 信号 广泛 存在 于 生活 的 方方面面 ， 电 力 传输 、 手 机 通信 等 诸多 方面 存在 电磁 信和 号， 
其 中 还 包括 日 常 应 用 的 计算 机 及 网 络 信 号 传输 。 

计算 机 在 处 理 信息 时 ， 电 磁 信 号 会 不 可 避免 地 夹带 着 信息 数据 通过 导线 、 网 线 、 空 间 等 
方式 各 外 传播 。 实 验 表明 ， 一 千 米 内 的 计算 机 屏幕 信号 均 可 以 被 捕捉 、 还 原 ， 也 就 是 说 ， 在 
你 处 理 信息 时 ， 一 千 米 外 就 可 能 有 人 在 看 着 你 的 显示 器 究竟 出 现 了 什么 东西 。 网 线 在 传输 数 
据 的 同时 也 会 夹杂 着 大 量 的 数据 信号 向 外 扩散 ， 甚 至 包括 计算 机 所 使 用 的 电源 都 会 将 数据 信 
号 同 电磁 信息 一 起 发 出 。 这 些 数据 信号 一 旦 被 非法 还 原 将 造成 计算 机 大 量 的 数据 在 处 理 信息 
的 同时 流失 。 

为 保证 电磁 信号 安全 、 不 被 还 原 ， 同 时 又 能 正常 使 用 计算 机 ， 就 必须 对 计算 机 进行 电磁 
防 泄漏 处 理 ， 主 要 方式 有 3 种 : 

1) 基于 显示 器 的 电磁 信号 过 滤 。 

2) 基于 导线 传输 的 电磁 信号 过 滤 。 

3) 基于 线路 传导 的 电磁 信号 干扰 。 

对 于 显示 器 电磁 泄漏 现象 ， 可 使 用 电磁 信号 屏蔽 仪 对 其 进行 电磁 信号 干扰 ， 防 止 电 磁 信 
号 被 外 部 还 原 。 电 磁 信 号 屏蔽 仪 主要 分 为 两 种 : 串 接 在 机 箱 与 显示 器 间 进 行 视频 信号 的 滤 
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波 ， 通 过 对 信号 的 过 滤 实 现 对 电磁 信号 的 保护 ， 男 一 种 则 是 安放 在 固定 区 域内 ， 对 固定 直径 
范围 内 计算 机 电磁 信号 进行 干扰 ， 主 要 是 以 向 外 发 送 干扰 信号 的 方式 实现 对 固定 范围 内 多 台 
计算 机 电磁 信号 的 干扰 。 两 种 干扰 方式 及 干扰 设备 各 有 优 劣 。 基 于 主机 的 方式 较为 安全 稳 
定 ， 但 局 限 性 高 ， 对 于 笔记 本 无 法 实现 防护 ， 男 一 种 则 影响 范围 较 大 ， 但 是 根据 实际 测量 情 
况 反 映 ， 使 用 基于 主机 的 电磁 屏蔽 设备 较为 安全 。 

对 于 线路 电磁 信号 过 滤 ， 可 采用 线路 传导 干扰 设备 ， 弟 接 在 网 线 两 端 对 流 经 网 线 的 电磁 
信号 进行 滤波 处 理 。 线 路 传导 干扰 设备 主要 应 用 于 远 距 离 、 不 受 控 的 信号 传递 间 ， 对 网 线 传 
输 信息 的 质量 、 距 离 有 一 定 影响 。 

对 于 计算 机 电源 线 的 电磁 泄漏 ， 可 通过 使 用 红 黑 电源 插座 的 方式 实现 。 红 黑 电 源 插 座 的 
功能 主要 有 两 个 : 滤波 、 稳 压 。 过 小 流 经 插座 的 显示 右 、 主 机 的 数据 信号 ， 从 而 达到 避免 数 
据 信 息 被 还 原 的 可 能 。 

以 上 就 是 常见 的 几 种 电磁 屏蔽 设备 ， 值 得 注意 的 是 : 任何 设备 都 不 是 万 能 的 ， 虽 然 可 以 
避免 绝 大 多 数 终端 安全 事件 的 有 发生， 但 是 仍 需 使 用 者 和 管理 者 引起 注意 ， 防 止 因 人 为 因素 导 
致 不 必要 的 损失 。 再 者 ， 任 何 设 备 的 增加 都 会 不 同 程度 地 影响 计算 机 的 使 用 效率 ， 但 是 ， 为 
保证 终 疹 安全 ， 售 弃 一 部 分 资源 作为 终端 及 信息 安全 的 代价 也 是 值得 的 、 应 该 的 、 必 须 的 。 


2.6 ”总结 


到 这 里 ， 几 种 终端 常见 的 安全 问题 、 解 决 办 法 和 安全 防护 设备 的 介绍 就 告 一 段落 了 。 
须知 ， 人 作为 终端 的 使 用 者 和 管理 者 才 是 事件 的 主导 因素 ， 计 算 机 及 信息 技术 只 是 作为 一 
种 工具 存在 ， 不 能 因为 某 些 人 、 某 些 因素 就 以 偏 概 全 ， 否 决 计算 机 及 信息 技术 给 我 们 带 来 
的 利益 及 收获 。 随 着 技术 的 发 展 ， 将 有 层出不穷 的 信息 技术 应 用 于 安全 防护 领域 ， 对 于 可 
能 发 生 的 终端 安全 事件 ， 应 竭力 避免 ， 积 极 防御 ， 引 领 计算 机 良性 、 健 康 地 发 展 ， 营 造 良 
好 的 网 络 环境 。 
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第 3 齐 “ 终 娟 安全 人 官 理 ”的 现在 和 未 来 


3. 国外 终 痛 安全 党 理 是 什么 样 的 


国外 信息 安全 工作 往往 呈现 系统 化 和 整体 配套 性 ， 终 端 安全 仅 是 整体 信息 安全 的 一 个 环 
节 ， 是 整个 信息 系统 中 的 一 个 部 分 ， 与 资产 管理 、 人 事 管理 、 防 病毒 管理 、 网 络 管理 、 电 子 
邮件 、 设 施 管理 、Web 防护 、 数 据 管理 、 虚 拟 化 和 公众 信息 接口 等 整合 在 一 起 ， 系 统 化 的 解 
决 来 源 于 终端 使 用 所 带 来 的 安全 问题 。 

由 于 发 达 国 家 在 信息 领域 的 投入 较 早 ， 重 视 较 高 ， 所 以 相对 的 ， 在 集约 化 程度 和 管理 制 
度 方 面 明 显 优 于 国内 ， 由 于 文化 差异 而 造成 的 安全 管理 思路 不 同 ， 所 重视 和 发 展 的 方向 与 国内 
也 略 有 不 同 。 以 小 见 大 ， 我 们 来 分 析 一 下 一 个 跨国 公司 中 的 系统 维护 人 员 与 终端 相关 的 工作 。 

以 下 是 一 个 系统 运行 维护 工程 师 和 终端 相关 工作 的 记录 : 


1) 购置 新 的 PC 或 者 笔记 本 先 到 他 们 专门 的 全 服务 部 门 。 

2) 事先 根据 他 们 的 全 球 标准 制定 了 相应 的 操作 系统 镜像 〈Image) 文件 。 

3) 利用 XX 网 络 引 导 ， 批 量 部 署 操 作 系统 。 整 个 过 程 完 全 自动 完成 ， 尽 量 减少 因 人 
为 操作 带 来 的 配置 更 改 和 安全 风险 。 

4) 交付 安装 好 的 终端 到 最 终 用 户 。 

5) 用 户 使 用 开 部 门 分 配 的 账号 登录 。 

6) 根据 用 户 所 在 部 门 、 业 务 需 求 ， 生 成 个 性 化 昌 面 配置 ， 应 用 系统 安全 人 策略， 强制 
或 者 按 需 安装 应 用 程序 ， 包 括 各 种 业务 客户 端 等 《软件 分 发 )。 

7) 后 台 实 时 更 新 操作 系统 补丁 ， 并 随时 监控 。 

8) 终端 用 户 重 要 数据 实时 备份 。 包 括 个 性 化 配置 和 数据 文件 。 备 份 过 程 透 明 ， 无 须 
用 户 干预 。 确 保 在 操作 系统 朋 温 或 者 硬件 损坏 时 不 致 丢失 重要 数据 。 

9) 记录 软 硬 件 资产 ， 随 时 统计 终端 软 硬 件 资产 详情 ， 记 录 变 更 情况 并 及 时 通知 系统 
管理 员 《 资 产 管理 )。 

10) 终端 出 现 使 用 问题 时 ， 远 程 接管 用 户 终端 ， 进 行 排 错 或 者 进行 用 户 使 用 塔 训 《〈 远 
程 维 护 )。 

11) 当 操 作 系统 损坏 、 操 作 系 统 升 级 时 ， 直 接 利 用 平台 的 镜像 部 普 机 制 ， 网 络 引 导 恢 
复 用 户 操作 系统 ， 用 户 登 录 后 所 有 的 个 性 化 配置 和 个 人 数据 目 动 恢 复 。 

12) 硬件 达到 使 用 寿命 报废 ， 目 动 从 系统 里 注销 ， 并 且 在 配置 资产 库 和 服务 器 平台 注 
销 /回收 相关 资源 。 

通过 上 述 记 录 不 难看 出 ， 运 行 维护 工作 覆盖 了 终端 从 购置 到 报废 整个 生命 周期 ， 整 个 维 
护 工作 有 以 下 几 个 特点 : 


1) 注重 终端 的 资产 管理 ”建立 完善 的 终端 设备 的 资产 管理 ， 以 资产 管理 为 中 心 ， 关 注 
资产 在 全 生命 周期 中 的 使 用 状态 。 

2) 注重 过 程 管理 ”在 终端 全 生命 周期 中 ， 对 其 进行 严格 的 过 程 管理 ， 有 明晰 的 事务 处 
理 路 线 ， 以 及 过 程控 制 指标 。 

3) 注重 策略 标准 化 ”根据 终端 使 用 环境 特征 ， 如 部 门 、 业 务 、 人 员 、 使 用 环境 等 特 
征 ， 确 定 终端 配置 策略 集 。 

4) 终端 安全 防护 自动 化 ”对 终端 系统 的 安全 维护 工作 目 动 化 ， 如 ， 软 件 分 友 、 补 丁 管 
理 、 防 病毒 管理 以 及 系统 、 数 据 的 备份 等 。 

5) 注重 策略 的 监控 和 审计 “对 终端 的 使 用 状况 以 及 安全 策略 的 执行 情况 ， 进 行 实施 的 
监控 和 记录 ， 便 于 终端 安全 风险 的 监控 ， 以 及 对 安全 策略 执行 效果 的 审计 ， 以 便 对 策略 进行 
考评 ， 对 现 有 策略 标准 进行 调整 和 完善 。 

6) 终端 系统 的 维护 管理 ”强调 终端 系统 维护 的 集中 性 和 专业 性 。 

综合 来 看 ， 国 外 的 终端 安全 管理 强调 全 生命 周期 管理 ， 并 利用 各 种 技术 文 持 管 理 流程 的 
实现 ， 以 及 对 重要 流程 节点 的 控制 ， 强 调 监控 和 审计 的 作用 ， 做 到 安全 策略 持续 改进 。 


3.2 ”国内 终端 安全 省 理 在 怎么 做 


目前 国内 终端 安全 关注 较 多 ， 但 是 实际 管理 较 少 。 终 端 安全 管理 工具 较 多 ， 但 是 管理 概 
念 较 少 ， 管 理 制度 较 多 ， 并 且 执 行 力度 和 执行 手段 较 少 。 

总 体 来 看 ， 终 端 使 用 和 管理 中 存在 以 下 现象 : 

(1) 重视 基础 硬件 投入 ， 忽 视 软件 和 制度 投入 

终端 与 办 公 效 率直 接 相 关 ， 因 此 在 终端 采购 上 ， 往 往 预算 和 经 费 都 十 分 充足 ， 基 于 对 终 
问 发 展 速度 的 有 效 评估 ， 现 有 终 问 的 采购 计划 都 会 以 短期 高 效 、 长 期 有 效 为 指导 方针 。 这 也 
是 因为 硬件 属于 可 见 的 可 量化 的 资产 。 从 2011 年 数据 分 析 ， 国 内 IT 领域 硬件 投入 占 总 投入 
的 68%， 软 件 投入 仪 占 21%， 而 安全 相关 的 软件 和 制度 投入 更 是 远 远 小 于 这 个 比例 。 从 发 达 
国家 的 成 熟 经 验 来 考虑 ， 人 硬件 、 软 件 和 安全 的 合理 投入 应 该 为 5 : 3 : 2， 这 说 明 现 有 的 人 硬件 
投资 中 有 相当 一 部 分 的 设备 没有 配套 的 软件 和 安全 ， 也 就 意味 着 这 些 没 有 配套 软件 和 安全 的 
设备 ， 在 运行 过 程 中 没有 充分 发 挥 应 有 的 效能 ， 大 量 的 潜力 被 浪费 ， 安 全 处 于 危险 状态 中 ， 
其 至 相当 一 部 分 数量 的 设备 处 于 无 安全 监控 和 防护 的 状态 中 ， 人 危害 巨大 。 

(2) 应 用 软件 专业 系统 繁杂 ， 安 全 管理 软件 单一 

由 于 工作 需要 和 市 场 推动 ， 相 关 专 业 系 统 的 开发 处 于 蓬 动 发 展 之 中 ， 应 用 软件 也 层 出 不 
务 ， 例 如 MIS (Management Information System) 中 的 办 公 自 动 化 (Office Automation ， 
OA )、 工 业 控 制 系统 (IPC)、 辅 助 决策 系统 (DSS )、 企 业 资 源 管理 (ERP，Enterprise 
Resource Planning) 等 ， 部 署 方式 也 多 种 多 样 ， 有 B/S (Browser/Server) 模式 的 ， 也 有 C/S 
(Client/Server) 模式 的 。 由 于 缺少 有 效 的 信息 安全 指导 和 监控 ， 部 分 软件 和 系统 在 设计 之 初 
就 很 少 考虑 安全 问题 ， 造 成 应 用 软件 本 身 存在 严重 的 安全 漏洞 ， 而 已 经 加 入 的 安全 防护 措施 
往往 没有 进行 后 期 的 升级 和 维护 ， 不 仅 没有 起 到 预期 的 安全 防护 作用 ， 反 而 麻痹 了 信息 安全 
管理 人 员 ， 使 之 忽视 了 可 能 出 现 的 安全 问题 ， 没 能 在 第 一 时 间 发 现 和 防范 问题 ， 造 成 了 不 必 
要 的 危害 。 目 前， 终端 安全 管理 人 员 所 用 的 安全 管理 软件 主要 是 杀毒 软件 ， 导 致 终端 安全 的 
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RS 终端 安全 风险 管理 
发 展 严重 失衡 。 

(3) 终端 应 用 范围 和 分 布 广泛 ， 专 业 运 维 人 员 稀 缺 

由 于 终端 设备 发 展 的 多 样 性 和 实用 性 ， 终 端 已 经 在 社会 各 个 领域 广泛 分 布 ， 各 个 角落 都 
有 部 署 ， 其 中 有 部 分 终端 处 于 无 人 值守 的 状态 ， 如 行政 办 公 大 厅 、 银 行 自动 柜员 机 、 税 务 办 
公 大 厅 等 都 有 这 类 公用 终端 

有 些 已 经 指定 的 终端 运 维 人 员 ， 本 身 并 不 具备 足够 的 安全 知识 ， 且 由 于 人 手 不 足 而 无 法 
及 时 出 现在 需要 维护 的 终端 上 进行 维护 ， 再 加 上 日 常 维护 手段 较 少 ， 日 常 维护 工作 量 偏 高 。 
总 得 来 讲 ， 终 端 运 维 人 员 稀缺 ， 终 端的 维护 已 经 成 为 制约 终端 安全 的 重要 因素 。 

(4 络 冰 安全 日 相关 信息 众多 ， 首 体 要 分 析 和 解决 捕 施 催 

终端 安全 涉及 的 相关 信息 量 非常 大 ， 日 常 需 要 处 理 和 分 析 的 内 容 非常 多 ， 由 于 这 些 信息 
的 来 源 广泛 ， 且 格式 和 内 容 不 一 而 同 ， 导 致 缺乏 总 体态 势 分 析 。 在 没有 整体 分 析 结 论 的 支持 
下 ， 应 对 和 解决 措施 往往 不 能 对 症 下 药 ， 容 易 产生 管理 工作 带 来 的 安全 隐患 和 风险 

(5) 终端 使 用 人 员 广 泛 ，IT 技术 和 安全 常识 参差 不 齐 

终端 使 用 人 员 从 专业 技术 人 员 到 社会 大 众 ， 每 个 人 掌握 的 IT 技术 和 安全 常识 参差 不 
齐 ， 且 应 用 技术 的 出 发 点 和 目的 也 不 同 ， 导 致 终端 在 使 用 过 程 中 ， 问 题 也 层出不穷 ， 如 无 意 
识 的 信息 扩散 和 外 泄 ， 有 目的 的 攻击 和 渗透 。 而 管理 技术 手段 和 管理 人 员 的 有 限 ， 导 致 无 力 
应 对 这 些 问题 。 

(6) 资产 种 类 和 数量 庞杂 ， 管 理 流程 缺乏 统一 和 同步 

终端 资产 在 使 用 过 程 中 也 存在 着 变化 。 使 用 者 会 变更 、 使 用 范围 会 变化 、 使 用 地 点 会 调 
整 ， 这 些 内 容 原来 都 由 不 同 的 工作 单位 处 理 ， 但 是 信息 却 没有 统一 ， 资 产 的 状态 在 不 同 的 工 
作 单 位 和 范围 内 信息 没有 得 到 同步 。 在 使 用 中 ， 接 入 网 络 的 设备 除了 业务 终端 外 ， 还 有 其 他 
设备 。 如 智能 手机 、 平 板 电脑 等 具备 了 同样 的 性 能 和 功能 的 设备 可 以 直接 接 入 网 络 ， 也 可 以 
通过 终端 楼 入 网 络 ， 由 于 传统 的 终端 安全 关注 范围 狭小 ， 导 致 这 些 设备 的 违规 使 用 泛 游 ， 没 
有 对 应 的 管理 流程 和 技术 手段 。 

(7) 终端 应 用 发 展 迅速 ， 安 全 管理 技术 和 理念 停滞 不 前 

终端 的 发 展 迅猛 ， 从 CPU 的 更 新 换代 ， 操 作 系统 的 推陈出新 ， 终 端的 应 用 环境 不 断 发 
展 变化 ， 网 络 速度 的 提升 、 应 用 的 丰富 ， 但 与 之 相 比 ， 终 端 安全 相关 的 管理 技术 和 理念 并 没 
有 同步 更 新 ， 甚 至 远 远 落 后 于 终端 应 用 软件 的 发 展 。 传 统管 理 制度 的 要 求 和 现 有 设备 的 使 用 
环境 格格 不 入 。 复 杂 的 应 用 环境 使 终端 设备 的 合法 合 规 使 用 ， 在 不 同 阶段 和 不 同 环境 中 是 不 
一 样 的 ， 管 理 程度 也 与 使 用 人 员 的 身份 和 处 理 信息 的 重要 度 息息相关 ， 缺 乏 体系 化 的 终端 安 
全 风险 管理 ， 缺 少 规范 化 的 终端 安全 管理 制度 ， 最 终 造成 终端 信息 安全 只 是 空中 楼 阔 ， 虚 无 
红 夫 ， 人 人 在 痰 ， 人 人 在 用 ， 但 是 无 人 在 管 ， 也 天 从 下 王 ， 设 有 浆 体 的 分 析 和 管理 ， 表 目的 
管理 和 粗 久 的 约束 ， 结 果 是 制约 终端 的 应 用 和 降低 工作 的 效率 ， 与 终端 安全 管理 的 初衷 背 首 
而 驰 。 


ES 终端 安全 管理 产品 有 哪些 


终端 安全 管理 的 根本 在 于 管理 的 各 项 策略 的 落地 实现 ， 一 个 好 的 终 疹 安全 管理 策略 如 果 
不 能 落地 执行 也 是 枉然 ， 因 此 凡 与 终端 管理 各 环节 中 安全 相关 的 技术 产品 ， 即 成 为 终端 安全 
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产品 范畴 。 终 端 安全 产品 是 指 安装 和 运行 在 终端 上 的 安全 保护 ， 防 止 入 侵 、 控 制 终端 的 安全 
模式 和 管理 用 户 行为 的 安全 软件 。 

大 家 常 提 到 的 终端 安全 软件 包括 : 

(1) 更 面 防火 墙 (FW) 

过 小 来 自 互 联网 及 其 他 公共 信息 网 络 对 本 地 计算 机 终端 的 攻击 ， 封 堵 木 马 、 病 毒 等 恶意 
软件 经 常 调用 的 端口 ， 监 控 异 常 端 口 流 量 ， 从 而 保护 本 地 主机 安全 。 

(2) 加 面 入 侵 防 护 (HIPS) 

在 某 些 文件 、 程 序 修改 计算 机 其 他 文件 、 注 册 表 信息 等 时 进行 防御 性 报警 ， 提 醒 用 户 是 
奋 同 意 以 上 操作 ， 如 用 户 禁 止 此 项 修改 ， 则 此 次 修改 行为 不 能 继续 进行 。HIPS 还 能 极 大 地 
过 滤 木 马 同 目地 主机 发 送 本 地 信息 的 行为 。 

(3) 加 面 反 间 谍 

针对 计算 机 内 含有 的 或 在 浏览 文件 公共 信息 时 激活 的 间谍 软件 进行 报警 和 查 杀 ， 其 功能 
区 别 于 杀毒 软件 ， 对 间谍 软件 、 木 马 程序 有 较 强 的 针对 性 。 

(4) 桌面 反 病毒 

对 本 地 计算 机 进行 病毒 查 杀 ， 从 而 达到 对 主机 、 网 络 、 数 据 的 防护 效果 。 

(5) 泉 面 合 规 性 管理 

对 终端 安装 软件 、 补 丁 及 版 本 等 情况 进行 达标 度 检 查 ， 对 终端 维护 提供 可 视 化 效果 等 。 

(6) 资产 管理 、 客 户 端 加 密 、 补 丁 管理 、 漏 洞 管理 等 

这 些 软件 是 对 计算 机 终端 资产 、 计 算 机 补丁 及 计算 机 所 存在 的 漏洞 进行 更 新 管理 的 应 用 
系统 。 

(7) 终端 安全 准 入 

通过 交换 机 、 终 端 控制 ， 对 计算 机 的 入 网 行为 进行 人 为 和 干预， 防止 非 授 权 计算 机 接 入 可 
信 信 息 系 统 。 

(8) 安全 配置 检查 

主要 针对 计算 机 各 项 安全 配置 进行 检查 ， 如 计算 机 用 户 名 、 密 码 设置 ， 开 启 与 禁用 的 服 
务 、 端 口 ， 目 前 计算 机 存在 的 进程 信息 等 ， 降 低 人 工 手动 检查 的 工作 量 。 

(9) 其 他 安全 产品 ， 漏 洞 扫 朱 、 文 档 加 密 等 产品 

目前 市 面 上 存在 的 安全 产品 较 多 ， 品 牌 也 较为 复杂 ， 这 里 不 做 无 意义 歼 述 。 但 是 由 此 可 
见 ， 国 内 、 外 网 络 终端 安全 厂商 较 多 ， 安 全 产品 也 很 多 ， 针 对 终端 的 各 个 领域 都 有 不 同 的 侧 
重 。 第 见 的 安全 软件 可 分 类 为 果 面 管理 、 网 络 接 入 、DLP、 防 病毒 等 ， 但 是 这 些 产品 多 是 以 
工具 的 形式 运用 。 

1) 桌面 管理 类 ”主要 以 针对 操作 系统 的 各 种 状态 收集 、 信 息 采 集 和 运行 监控 为 主 ， 强 
调 对 于 终端 的 个 体 管理 和 整体 制度 统一 ， 可 以 对 单一 终端 进行 点 对 点 的 控制 和 管理 ， 适 用 于 
小 范围 的 网 络 安 全 管理 。 

2) 网 络 接 入 类 ”主要 是 网 络 接 入 的 合法 和 合 规 性 管理 ， 强 调 终端 的 使 用 者 和 使 用 范围 
必须 遵循 已 有 的 网 络 安 全 定义 ， 对 于 发 现 的 风险 可 以 通过 网 络 隅 离 的 方式 ， 减 小 对 于 现 有 网 
络 环境 的 影响 ， 降 低 整 体 安 全 风险 的 威胁 。 

3) DLP Data Leakage Prevention 一 一 数据 泄漏 防护 ， 叉 称 为 Data Loss Prevention 一 一 
数据 丢失 防护 。 数 据 泄漏 防护 是 通过 一 定 的 技术 手段 ， 防 止 企业 的 指定 数据 或 信息 资产 以 违 
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OS 终 演 安全 风险 管理 
反 安 全 策略 规定 的 形式 流出 企业 的 一 种 策略 。 

目前 ， 数 据 泄漏 的 途径 可 归 类 为 3 种 : 在 使 用 状态 下 的 泄密 、 在 存储 状态 下 的 泄密 和 在 
传输 状态 下 的 泄密 。 一 般 企业 可 通过 安装 防火 墙 、 杀 毒 软件 等 方法 来 阻挡 外 部 的 入 侵 ， 但 是 
事实 上 97% 的 信息 泄密 事件 源 于 企业 内 部 ， 所 以 就 以 上 3 种 泄密 途径 分 析 ， 信 息 外 泄 的 根源 
tes 

(a) 使 用 泄漏 

a) 操作 失误 导致 技术 数据 泄漏 或 损坏 。 

b) 通过 打印 、 剪 切 、 复 制 、 粘 贴 、 另 存 为 、 重 命名 等 操作 泄漏 数据 。 

(b) 存储 泄漏 

a) 数据 中 心 、 服 务 器 、 数 据 库 的 数据 被 随意 下 载 、 共 享 泄漏 。 

b) 离职 人 员 通过 U 盘 、CD/DVD、 移 动 硬 盘 随 意 复 制 机 密 资 料 。 

c) 移动 笔记 本 被 盗 、 于 失 或 维修 造成 数据 泄漏 。 

(c) 传输 泄漏 

a) 通过 Email、QQ、MSN 等 轻易 传输 机 密 资料 。 

b) 通过 网 络 监听 、 拦 截 等 方式 算 改 、 伪 造 传 输 数据 。 

4) 防 病毒 ”主要 是 防 病毒 软件 和 木马 查 杀 工具 ， 该 领域 受 重视 较 早 ， 关 注 也 最 多 ， 因 
此 发 展 相 对 稳定 和 成 熟 。 

纵 观 以 上 分 类 ， 可 以 明显 发 党 工具 色彩 浓厚 、 单 一 性 突出 、 整 体 性 不 足 、 体 系 性 缺乏 、 
没有 从 安全 管理 的 角度 来 进行 全 局 的 掌控 ， 缺 少 对 于 终端 安全 的 全 过 程 和 全 场景 分 析 ， 因 此 
会 产生 头痛 医 头 、 脚 痛 医 脚 的 现象 ， 经 剖 出 现 安全 管理 员 越 多 安全 事件 越 多 ， 工 作 内 容 越 多 
监管 工作 越 复 杂 ， 工 具 越 多 管理 越 少 的 局 面 。 由 此 可 见 ， 系 统 性 的 安全 管理 平台 在 终端 安全 
管理 工作 中 的 重要 性 日 渐 突 出 。 

终端 安全 管理 平台 类 产品 国内 外 区 分 各 有 不 同 。 

(1) 国外 终端 安全 管理 平台 产品 

国外 信息 安全 管理 体系 建设 醒悟 较 早 ， 终 端 产 品 基本 从 终端 准 入 和 条 面 安 全 管理 两 方面 
入 手 ， 下 面 介 绍 3 个 典型 产品 的 功能 特点 。 

1) IBM Proventia 终端 安全 控制 ”结合 了 安全 终端 管理 的 多 个 关键 领域 ， 使 得 企业 可 以 
从 众多 供应 商 中 自由 选择 最 好 的 单 点 安全 产品 ， 并 把 它们 当做 一 个 整合 的 解决 方案 进行 管 
理 。 涵 盖 的 方面 包括 入 侵 防 护 系统 CIPS)、 防 火 墙 与 网 络 访问 控制 ， 数 据 保 护 〈 例 如 设备 控 
制 )、 数 据 丢 失 防 护 与 端点 加 密 ; 安全 配置 与 合 规 管 理 ， 以 及 IT 安全 操作 〈 如 安全 补丁 管 
理 ) 和 部 署 /删除 安全 工具 。 

2) CISCO NAC 网络 准 入 控制 ) “为 完全 符合 安全 策略 的 终端 设备 提供 网 络 接 入 ， 且 有 
助 于 确保 拒绝 不 符合 策略 的 设备 接 入 ， 将 其 放 入 隔离 区 以 修复 ， 或 仅 允 许 其 有 限 地 访问 资源 。 

3) LANDesk 桌面 管理 套件 ”提供 了 从 计算 机 资产 管理 、 软 件 分 发 及 应 用 以 及 远程 帮助 
等 方面 的 众多 功能 ， 包 括 服务 器 管理 、 补 丁 管理 、 软 件 分 发 、 软 件 许 可 监控 、 远 程 维 护 、 资 
产 管理 和 OS 映像 迁移 。 

(2) 国内 终端 安全 管理 平台 产品 

国内 终端 管理 类 产品 起 步 较 晚 ， 开 始 于 2002 年 左右 ， 与 国外 产品 相 比 ， 本 土产 品 在 稳 
定性 和 功能 深入 方面 存在 一 定 的 差距 ， 但 是 ， 各 厂商 产品 也 都 具有 一 定 的 竞争 优势 。 最 大 的 
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优势 在 于 本 土 化 优势 ， 终 端 系统 的 使 用 特点 有 具备 很 大 的 个 性 化 成 分 ， 根 据 组 织 的 业务 、 行 
政 、 文 化 和 管理 架构 等 的 不 同 存在 较 大 的 差异 ， 国 内 厂商 在 行业 需求 方面 深入 挖 气 ， 根 据 组 
织 终端 使 用 特点 以 及 国内 信息 安全 相关 标准 规定 ， 进 行 针对 性 的 开发 ， 因 此 ， 有 具备 强大 的 适 
应 能 力 和 敏捷 的 反应 能 

下 面 就 几 款 典型 的 终端 安全 管理 产品 进行 简单 的 介绍 。 

1) TOPSEC 终端 管理 系统 〈TopDesk): 一 款 基 于 安全 策略 的 终端 管理 产品 ， 采 用 了 开 
放 式 B/S 体系 结构 和 标准 化 数据 通信 方式 ， 对 局 域 网 内 部 的 网 络 安全 行为 进行 全 面 监管 ， 检 
测 并 保障 蝎 面 系统 的 安全 。TopDesk 共 分 3 大 模块 :桌面 行为 监管 、 桌 面 系统 监管 、 系 统 资 
源 管理 ， 通 过 统一 定制 、 下 发 安全 策略 并 强制 执行 的 机 制 ， 实 现 对 局 域 网 内 部 果 面 系统 的 管 
理 和 维护 ， 能 有 效 保障 桌面 系统 及 重要 数据 的 安全 。 

2) 北 信 源 终端 安全 管理 系统 (VRV SpecSEC): VRV SpecSEC 体系 履 症 桌面 管理 、 安 
全 准 入 、 数 据 安 全 、 行 为 管控 、 安 全 审计 等 多 个 方面 ， 涉 及 管理 计算 机 本 身 、 计 算 机 应 用 、 
计算 机 操作 者 、 计 算 机 使 用 单位 管理 规范 等 多 个 方面 。 

国内 还 有 不 少 广 商都 有 终端 安全 管理 系统 产品 ， 如 启明 星辰 、 圣 博 油 、 神 州 泰 跃 、 中 软 
华泰 等 安全 公司 。 功 能 全 面 、 符 合 国内 安全 标准 也 是 这 些 本 十 产品 所 追求 的 共同 目标 。 


3.4 ”终端 还 有 安全 问题 么 


在 终端 安全 管理 工作 推行 过 程 中 存在 主要 困难 有 以 下 几 个 方面 : 

1) 在 终端 风险 处 置 过 程 中 ， 缺 少 各 项 控制 措施 与 信息 安全 风险 的 一 一 对 应 ， 所 输出 的 
众多 信息 安全 管控 措施 难以 统一 规划 。 

在 终端 风险 评估 的 过 程 中 将 会 全 面 地 、 系 统 地 对 组 织 内 的 各 项 终端 资产 进行 详细 的 风险 
分 析 ， 系 统 地 分 析出 组 织 内 终端 系统 所 面临 的 各 项 风险 ， 并 对 各 项 风险 采取 合理 、 有 效 的 管 
控 措 施 。 基 于 风险 评估 得 出 的 终端 所 面临 多 类 实际 信息 安全 风险 ， 其 风险 个 数 很 大 。 由 于 不 
同类 别 的 信息 安全 风险 所 采取 少 控 措施 的 优先 级 ， 通 第 也 有 很 大 的 差别 ， 如 何 针对 数量 庞大 
的 风险 及 管控 措施 进行 合理 的 规划 ， 是 一 个 很 大 的 难题 ， 因 此 对 于 规模 比较 庞大 的 组 织 ， 如 
何 对 风险 评估 后 的 管控 措施 进行 统一 、 合 理 的 规划 至 关 重 要 。 

2) 难以 在 实践 中 对 终端 安全 管理 体系 中 的 各 级 文件 、 模 板 及 记录 进行 有 条 理 的 管理 。 

终端 安全 管理 体系 拥有 很 多 文档 化 的 方针 、 策 略 、 规 范 和 制度 ， 并 在 体系 运行 的 过 程 中 
将 产生 大 量 的 记录 。 对 于 体系 维护 人 员 来 讲 如 何 对 这 些 文件 进行 分 门 别 类 的 管理 ， 并 且 很 好 
地 对 其 中 的 逻辑 性 与 一 致 性 进行 控制 ， 是 一 个 不 大 不 小 的 难题 。 

3) 终 剖 安全 管理 体系 实施 及 运作 过 程 中 ， 关 键 活动 (如 体系 测量 、 组 织 内 审 、 管 理 评 
审 等 ) 的 策略 、 实 施 、 记 录 很 难 系统 化 和 程序 化 。 

终端 安全 管理 体系 构建 和 实施 运作 过 程 中 ， 规 划 、 实 施 、 内 审 和 调整 过 程 循环 运行 ， 由 
于 这 些 活动 关系 到 组 织 的 多 个 部 门 ， 组 织 协调 非常 困难 ， 因 此 将 这 些 活动 的 组 织 琳 划 上 自动 
化 、 实 施 过 程 的 系统 化 ， 并 在 实施 过 程 中 记录 完整 化 是 体系 推行 人 员 的 一 个 非常 大 的 挑战 。 

为 有 效 规避 以 上 问题 ， 需 要 在 终端 安全 管理 体系 构建 之 前 确定 完善 的 终端 安全 管理 体系 
构建 方法 论 ， 通 过 结合 终端 安全 风险 管理 体系 明确 终端 安全 管理 流程 ， 同 步 构建 知识 库 ， 以 
便 有 效 满 足 各 级 组 织 终端 安全 管理 体系 建设 的 需求 。 
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RS 终端 安全 风险 管理 

传统 信息 安全 体系 建设 系统 包括 安全 体系 规划 、 安 全 体系 设计 、 安 全 体系 实施 以 及 安全 
体系 保障 4 个 主要 模块 。 

1) 安全 体系 规划 ”分 析 识别 出 终端 安全 风险 体系 ， 明 确 终端 安全 风险 管理 过 程 ， 分 析 
识别 出 终端 安全 的 终端 信息 安全 改进 措施 ， 将 需要 增加 或 改进 的 措施 分 解 成 一 项 项 任务 或 项 
目 ， 明 确 每 个 任务 或 项 目的 目标 、 工 作 内 容 ， 分 析 任 务 或 项 目的 实施 优先 级 ， 根 据 实施 优先 
级 规划 这 些 任务 或 项 目的 实施 时 间 、 实 施 范围 及 参与 人 员 。 

2) 安全 体系 设计 “建立 体系 相关 部 门 、 人 员 、 职 责 及 联系 信息 ， 系 统管 理 各 类 方针 、 
策略 、 程 序 及 作业 指导 书 的 模板 及 具体 文件 的 归档 、 版 本 控制 。 

3) 安全 体系 实施 “将 各 个 任务 实施 的 情况 记录 到 系统 中 ， 对 各 项 任务 的 实施 的 状态 执 
行 有 效 跟踪 ， 并 且 评 价 各 个 任务 实施 的 有 效 性 ， 

4) 安全 体系 保障 “对 体系 内 部 审核 、 外 部 审核 及 管理 评审 等 活动 进行 组 织 、 策 划 、 协 
调 ， 并 对 内 审 、 外 审 、 管 理 评审 的 过 程 进行 记录 ， 对 各 不 符合 项 及 预防 措施 进行 记录 及 状态 
跟 踩 。 


3.5 终 疹 安全 管理 的 未 来 


从 技术 层面 看 ， 近 年 来 国内 外 终端 安全 在 技术 领域 的 发 展 有 以 下 几 个 趋势 

(1) 集成 趋势 

最 初 的 终端 安全 产品 是 以 介面 防 病毒 、 个 人 防火 墙 、 主 机 防 攻 击 、VPN 客户 端 等 单独 
软件 产品 出 现 ， 随 着 人 们 开始 将 终端 安全 作为 一 个 完整 问题 加 以 对 待 ， 终 端 安全 正经 历 着 一 
个 从 多 个 分 立功 能 到 多 功能 集成 的 过 渡 。 功 能 从 分 立 到 集成 并 不 是 指 将 所 有 终端 安全 功能 融 
合 为 一 个 广 家 的 一 款 产 品 ， 它 的 表现 形式 更 多 为 以 设置 管理 为 纽带 的 多 厂家 产品 的 集成 和 互 
动 ， 即 由 单一 主机 上 多 个 代理 组 成 的 代理 组 来 完成 终端 安全 。 

(2) 硬件 化 趋势 

运行 在 主机 操作 系统 之 上 的 终端 安全 产品 完全 由 软件 实现 ， 依 赖 于 操作 系统 ， 不 仅 增加 
了 CPU 的 负担 ， 也 无 法 防止 黑客 利用 其 他 应 用 软件 和 操作 系统 的 漏洞 获取 主机 控制 权限 ， 
特别 难以 避免 主机 用 户 因 安装 含有 恶意 代码 的 软件 而 造成 的 问题 。 

有 相应 硬件 支持 ， 将 很 大 程度 上 解决 纯 软 件 终端 安全 产品 存在 的 问题 。 有 200 多 家 厂商 
参加 的 可 信 计 算 组 织 〈Trusted Computing Group，TCG ) 已 经 制定 了 硬件 和 软件 的 标准 来 增 
强 主 机 安全 ， 其 中 非常 重要 的 就 是 用 来 存放 密 钥 、 密 码 和 数字 证 书 的 微 控制 器 ， 即 可 信和 平台 
模块 《Trusted Platform Module，TPM )。 

与 此 同时 ， 一 些 广 商 也 开始 研制 部 署 于 网 络 接口 的 基于 硬件 的 终端 安全 产品 。 这 些 产品 
以 安全 网 卡 形式 出 现 ， 最 终 也 可 能 集成 到 主板 。 在 专用 硬件 网 卡 上 内 置 的 防火 墙 、VPN 以 及 
入 侵 监 测 防 护 器 (IDP) 除了 可 以 分 担 主 机 CPU 的 负担 ， 而 且 可 以 独立 运行 ， 因 而 能 够 更 
好 地 支持 中 央 管 理 ， 防 止 因 主机 被 盗用 引入 的 问题 ， 在 一 定 程 度 上 可 以 阻 断 从 被 攻破 的 主机 
上 发 动 攻击 。 例 如 可 以 使 网 卡 内 置 的 安全 功能 具有 单独 的 安全 认证 ， 使 得 安全 策略 的 设置 和 
更 改 只 能 通过 独立 的 配置 手段 进行 ， 甚 至 可 以 使 配置 控制 权 不 在 主机 而 在 管理 中 心 ， 因 而 即 
使 黑客 侵入 了 某 个 主机 并 获得 了 它 的 管理 员 权 限 ， 也 不 能 禁用 或 更 改 网 卡 内 置 的 安全 功能 。 
又 如 ， 专 用 硬件 网 卡 上 内 置 的 防火 墙 能 够 自动 防止 该 主机 伪造 网 包 、IP 地 址 等 。 由 于 增加 成 
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本 的 原因 ， 这 类 产品 的 应 用 目前 多 见于 服务 器 。 

(3) 综合 趋势 

终端 安全 产品 要 和 网 关 及 其 他 安全 设施 密切 配合 ， 分 工 协作 ， 才 有 可 能 构架 全 面 完 整 的 
安全 防护 保障 体系 。 

终端 安全 的 重要 组 成 部 分 是 设置 管理 或 针对 安全 规范 符合 程度 的 检查 、 隔 离 和 矫正 。 要 
做 到 这 一 点 ， 终 端 安全 已 走出 离散 的 、 完 全 独立 运行 于 单个 主机 的 模式 ， 而 与 中 央 管 理 产品 
综合 在 一 起 ， 逐 步 形 成 完善 的 全 方位 、 多 层次 安全 体系 。 中 央 管 理 产品 本 身 可 以 是 分 层 分 布 
的 ， 这 样 的 布局 使 得 安全 解决 方案 更 加 严密 ， 也 有 具 较 好 的 灵活 性 。 当 网 络 的 状况 变化 时 ， 管 
理 中 心 可 以 根据 实际 情况 调整 对 于 各 个 终端 省 的 安全 要 求 和 安全 策 略 部 普 ， 并 通过 给 各 个 终端 
分 发 任务 和 监督 实施 来 保证 整个 网 络 系统 的 安全 性 。 

综 上 所 述 ， 终 端 安全 管理 体系 的 构建 实施 过 程 需要 依赖 完善 的 方法 论 ， 对 体系 建设 过 程 
提供 内 部 审核 、 管 理 评审 、 外 部 审核 等 管理 活动 文 持 ， 保 障 体系 的 有 效 实施 。 
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第 4 齐 终端 安全 管理 的 标准 


4.1 言 息 安 全 相关 标准 


(1) ISO/TEC27005《 信 息 技 术 一 安全 技术 一 信息 安全 风险 管理 》 

该 标准 给 出 了 信息 安全 风险 管理 的 指南 ， 包 括 风险 管理 的 原则 ， 风 险 评 佑 方法 ， 风 险 处 
理 和 风险 接受 ， 风 险 的 监视 和 评审 等 ， 以 及 给 出 了 如 何 满足 ISMS 要 求 的 更 进一步 的 信息 。 
明确 了 终端 风险 的 管理 原则 每 。 

(2) ISO/AEC27001《 信 息 安全 管理 体系 一 规范 与 使 用 指南 》 

该 标准 为 建立 、 实 施 、 运 行 、 监 视 、 评 审 、 保 持 和 改进 信息 安全 管理 体系 〈Information 
Security Management System， 人 简称 ISMS ) 提供 模型 。 

(3) ISO/AEC13335-2004《 信 息 技 术 一 安全 技术 一 信息 和 通信 技术 安全 的 管理 》 

该 标准 是 一 个 信息 安全 管理 指南 ， 这 个 标准 的 主要 目的 是 给 出 如 何 有 效 地 实施 I 安全 
管理 的 建议 和 指南 。 

该 标准 目前 分 为 5 个 部 分 。 第 1 部 分 : IT 安全 的 概念 和 模型 ， 这 部 分 包括 了 对 IT 安全 
和 安全 管理 的 一 些 基 本 概念 和 模型 的 介绍 ; 第 2 部 分 : IT 安全 的 管理 和 计划 (Managing and 
Planning IT Security)， 建 议 性 地 描述 了 IT 安全 管理 和 计划 的 方式 和 要 点 ; 第 3 部 分 : IT 安 
全 的 技术 管理 (Techniques for the Management of IT Security)， 窗 产 了 风险 管理 技术 、IT 安 
全 计划 的 开发 以 及 实施 和 测试 ， 还 包括 一 些 后 续 的 制度 审查 、 事 件 分 析 、IT 安全 教育 程序 
等 ; 第 4 部 分 : 防护 的 选择 (Selection of Safeguards )， 主 要 探讨 如 何 针 对 一 个 组 织 的 特定 环 
境 和 安全 需求 来 选择 防护 措施 。 这 些 措施 不 仅仅 包括 技术 措施 ;第 5 部 分 : 外 部 联接 的 防护 
(Safeguards for External Connections ) 。 

(4) GB/T20984-2007《 信 息 安 全 技术 一 信息 安全 风险 评估 规范 》 

标准 提出 了 计算 机 风险 评估 的 基本 概念 、 要 素 关 系 、 分 析 原 理 、 实 施 流程 和 评 佑 方法 ， 
以 及 风险 评估 在 信息 系统 生命 周期 不 同 阶段 的 实施 要 点 和 工作 形式 。 本 标准 适用 于 规范 组 织 
开展 的 风险 评估 工作 。 

(5) GB/T22239-2008《 信 息 安全 技术 一 信息 系统 安全 等 级 保护 基本 要 求 》 

本 标准 规定 了 不 同安 全 保护 等 级 信息 系统 的 基本 保护 要 求 ， 包 括 基 本 技术 要 求 和 基本 管 
理 要求 ， 适 用 于 指导 分 等 级 的 信息 系统 的 安全 建设 和 监督 管理 。 

6)《 信 息 安 全 等 级 保护 实施 指南 》 
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该 标准 详细 介绍 了 计算 机 终端 在 进行 分 级 保护 时 的 实施 流程 ， 介 绍 了 计算 机 运行 维护 、 
状态 监控 、 安 全 检查 等 详细 技术 模型 。 

(7) GB/T 20270-2006《 信 息 安 全 网 络 基 础 安全 技术 要 求 》 

本 标准 用 以 指导 设计 者 如 何 设计 和 实现 所 有 以 终端 为 基础 的 具有 所 需要 求 的 安全 等 级 的 
网 络 系统 。 实 现 了 对 等 级 保护 技术 要 求 中 各 个 安全 要 求 项 目 ， 网 络 系统 应 采取 的 安全 技术 措 
施 ， 以 及 各 级 技术 要 求 在 不 同安 全 等 级 保护 中 的 具体 差异 。 

(8) GB 20272-2006《 信 息 安 全 技术 操作 系统 安全 技术 要 求 》 

本 标准 用 于 指导 设计 者 如 何 设 计 和 实现 具有 所 需要 求 的 安全 保护 等 级 的 操作 系统 。 主 要 
说 明 技 术 要 求 中 安全 保护 等 级 要 求 ， 操 作 系统 应 采取 的 安全 技术 措施 ， 操 作 系统 在 不 同安 全 
保护 等 级 中 的 具体 差异 。 

(9) GB/T 20279-2006《 信 息 安 全 技术 网 络 和 终端 设备 隔离 部 件 安全 技术 要 求 》 

本 标准 用 于 指导 设计 者 如 何 设 计 和 实现 具有 所 需 的 安全 等 级 的 隔离 部 件 ， 主 要 从 对 隔离 
部 件 的 安全 保护 等 级 进行 划分 的 角度 来 说 明 其 技术 要 求 。 


4.2 行业 化 相关 标准 


(1)《 税 务 系统 网 络 与 信息 安全 风险 评估 指南 》 

《税务 系统 网 络 与 信息 安全 风险 评估 指南 》 就 是 为 了 对 全 国税 务 系统 的 信息 安全 风险 评 
估 工 作 提 供 实 施 的 指导 ， 从 而 统一 全 国税 务 系统 风险 评估 工作 的 实施 办 法 和 工作 流程 ， 产 生 
相同 格式 的 工作 成 果 ， 确 保 各 地 税务 系统 网 络 与 信息 安全 风险 评估 工作 结果 的 可 比 性 。 

(2)《 电 信和 系统 安全 规范 一 一 终端 安全 分 册 》 

电信 系统 于 2007 年 就 出 台 了 《安全 规范 一 一 终端 安全 分 册 》 用 于 规范 计算 机 终端 的 安 
全 管理 与 规范 应 用 。 分 册 通 过 制定 一 整套 的 终端 管理 技术 框架 、 提 出 详细 的 技术 要 求 ， 为 终 
端 安全 管理 系统 的 建设 提供 指导 ， 提 高 企业 对 于 分 散 终 端的 安全 管理 能 力 ， 规 范 系统 中 终端 
用 户 的 行为 ， 降 低 来 自 终端 的 安全 威胁 ， 重 点 解决 以 下 问题 : 

1) 作为 基本 的 业务 处 理 平台 和 信息 载体 ， 终 端 自 喘 安全 防护 的 问题 。 

2) 相对 以 往 缺 乏 控 制 措施 的 现实 ， 非 授权 终端 网 络 接 入 控制 的 问题 。 

3) 基于 “ 防 外 和 防 内 并 重 ” 的 指导 原则 以 及 内 控 要 求 ， 内 部 用 户 行为 监控 的 问题 。 

(3)《 电 信行 业 安 全 规范 一 一 用 户 管理 分 册 》 

本 规范 作为 中 国电 信安 全 规范 的 重要 组 成 部 分 ， 为 中 国电 信 进 行 用 户 管 理 统一 建设 提供 
依据 。 本 规范 的 编制 是 在 《CTG-MBOSS 安全 分 总 规范 》 的 总 体 框架 体系 指导 下 ， 参 考 了 中 
国电 信 的 现 有 的 成 果 与 经 验 ， 充 分 考虑 了 中 国电 信 企 业 战 略 目标 而 形成 的 。 

本 规范 是 电信 各 系统 建设 时 必须 遵循 的 技术 规范 ， 困 述 了 终端 用 户 生 命 周 期 管理 在 各 个 
阶段 需要 遵循 的 具体 内 容 ， 明 确 了 终端 密码 管理 办 法 。 本 规范 适用 于 中 国电 信和 集团 公司 及 下 
属 省 (市 ) 电信 公司 用 户 集中 管理 系统 规划 和 建设 ， 为 其 提供 指导 和 依据 。 

忆 而 言 之 ， 各 行业 、 集 团 为 探索 适宜 的 终端 管理 办 法 、 保 证 内 部 终 剖 安全 ， 在 各 项 国家 
标准 、 政 策 法 规 条 件 允 许 范 围 之 内 都 会 出 台 一 些 具 有 行业 特色 、 针 对 性 强 、 实 用 易 用 的 行业 
标准 ， 以 达到 对 终端 “因地制宜 ”的 防护 效果 ， 在 保证 计算 机 终端 安全 的 基础 上 ， 最 大 限度 
地 发 挥 计 算 机 的 实用 性 能 。 
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第 中 部 分 


第 5 章 ”如 何 构建 终端 安全 风险 体系 
第 6 章 对 终端 安全 风险 进行 分 类 


第 5 章 如 何 构建 终端 安全 风险 体系 


5.1 _ 终 站 安全 风险 评估 


终端 安全 风险 评估 是 信息 安全 风险 评估 的 重要 组 成 部 分 ， 主 要 依据 信息 安全 风险 评估 相 
关 的 技术 和 管理 标准 ， 对 终端 系统 及 其 所 存储 、 处 理 和 传输 的 信息 数据 所 面临 的 威胁 ， 以 及 
威胁 利用 脆弱 性 导致 安全 事件 的 可 能 性 《〈“ 即 终端 安全 风险 ) 进行 识别 分 析 ， 结 合 终 端 资产 价 
值 来 判断 终端 安全 事件 一 旦 发 生 对 组 织 所 造成 的 影响 。 

依据 信息 安全 风险 评估 理论 ， 终 疹 安全 风险 评 佑 工作 中 主要 遵循 以 下 几 个 原则 : 

1) 评估 工作 流程 的 可 操作 性 原则 。 

2) 评估 工作 质量 的 可 控制 性 原则 。 

3) 评估 工作 风险 的 可 规避 性 原则 。 

4) 评估 工作 内 容 的 保密 性 原则 。 

5) 评估 工作 最 小 化 的 影响 原则 。 

终端 安全 风险 评估 过 程 中 应 综合 运用 定性 与 定量 的 方法 ， 合 理 处 理 “ 主 观 与 客观 之 间 的 
关系 ， 并 足 于 “个 性 分 析 数 据 ”， 运用 “共性 分 析 数 据 ” 对 终 站 安全 风险 进行 识别 。 

终端 安全 风险 评估 常用 的 流程 图 5-1 所 示 。 


1. 风险 评估 准备 


2. 资产 识别 


8. 风险 评价 


4. 识别 已 有 安全 


日 


3. 识别 威胁 5. 识别 脆弱 点 


6. 识别 后 果 


7. 风险 估计 


Y 
实施 风险 管理 


图 5-1 终端 安全 风险 评估 参考 流程 示意 图 


经 过 终端 安全 风险 评估 将 获得 一 系列 终端 安全 风险 点 ， 必 须 将 这 些 识别 出 的 风险 点 清晰 
的 描述 出 来 ， 避 免 在 风险 分 析 报 告 因 缺 少 必 要 描述 和 格式 化 的 描述 方式 ， 而 使 人 “不 知 所 
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云 "， 进 而 在 风险 管控 工作 中 “不 知 所 措 ”。 因 此 ， 本 书 对 每 一 个 风险 点 都 从 其 发 生 的 可 能 性 
和 影响 角度 进行 了 详细 阐述 ， 并 对 每 一 类 风险 进行 了 更 为 细致 的 分 析 ， 人 针对 每 一 威胁 场景 i 
行 了 阐述 一 一 即 对 每 一 类 风险 均 拆 解 为 风险 点 进行 前 述 。 具 体 参 见 附录 : 终端 安全 风险 分 析 
报告 。 

基于 详细 的 风险 描述 和 格式 化 的 展示 方式 ， 可 以 把 每 个 风险 点 解释 得 比较 清楚 ， 但 从 总 
体 上 各 个 风险 点 还 是 孤立 的 ， 非 层次 化 的 ， 不 利于 整体 把 控 风 险 ， 容 易 导 致 “只 见 树木 ， 不 
见 森 林 ” 的 状况 。 因 此 ， 在 通常 所 用 的 简单 的 列表 的 基础 上 ， 一 定 要 以 体系 的 方式 展示 风 
险 ， 基 于 一 定 的 分 类 、 层 次 化 构建 方式 来 表明 每 个 风险 点 在 体系 中 所 处 的 位 置 ， 便 于 组 织 从 
整体 上 监控 风险 。 


] 5.2 识别 终 尊 资产 


在 信息 安全 领域 ， 终 端 资 产 的 价值 不 仅仅 是 以 资产 的 经 济 价 值 来 衡量 ， 而 是 由 资产 的 安 
全 属性 未 达成 时 所 造成 的 影响 程度 来 确定 。 资 产 面 临 的 威胁 、 存 在 的 脆弱 性 、 已 采用 的 安全 
措施 和 是 否 存在 应 急 预 案 都 将 影响 到 终端 资产 的 安全 。 为 此 ， 需 要 对 终端 资产 进行 识别 。 

终端 资产 主要 包括 终端 设备 和 终端 所 处 理 的 信息 。 表 5-1 给 出 了 基于 表现 形式 的 资产 分 
类 方式 。 


数据 保存 在 终端 中 的 各 种 数据 资料 ， 包 括 可 联网 传递 的 数据 信息 和 独立 存储 处 理 的 数据 信息 
系统 软件 ， 操作 系统 
应 用 软件 :外 部 购买 的 应 用 软件 和 外 包 开 发 的 应 用 软件 等 
计算 机 设备 : 大 型 机 、 小 型 机 、 服 务 器 、 工 作 站 、 人 台式 计算 机 、 移 动 计算 机 、 智 能 手机 和 其 他 智能 〈 移 
硬件 动 ) 设备 等 

存储 设备 : 光盘 、 移 动 硬 盘 、 普 通 U 盘 、 业 务 专 用 U 盘 、 认 证 Key 等 


软件 


终端 资产 识别 的 内 容 包 括 物理 资产 、 地 点 、 设 备 广 商 、 型 号 、 采 购 日 期 、 上 线 日 期 、 是 
否 通 过 网 络 传输 数据 、 行 政 押 属 等 信息 。 重 点 在 于 了 解 相关 资产 如 何 让 被 各 用 户 “ 如 终端 使 
用 者 、 主 机 系统 管理 员 、 安 全 管理 员 等 ) 所 使 用 或 管理 。 至 于 各 个 终端 相关 的 具体 信息 资 
产 ， 如 操作 系统 类 型 、CPU、 内 存 、 当 前 已 安装 补丁 的 版 本 号 等 可 以 通过 终端 安全 管理 系统 
的 客户 问 软 件 目 动 获 取 。 有 具体 参见 第 9 章 终 端 安全 风险 技术 防护 。 

通常 在 实际 资产 综合 评定 方法 中 ， 被 评估 者 可 以 根据 上 自身 的 特点 ， 选 择 对 资产 机 密 性 、 
完整 性 和 可 用 性 中 最 为 重要 的 一 个 属性 的 赋值 等 级 ， 作 为 资产 的 最 终 价 值 结果 ;也 可 以 根据 
资产 机 密 性 、 完 整 性 和 可 用 性 的 不 同等 级 ， 对 其 赋值 进行 加 权 计 算得 到 资产 的 最 终 赋值 结 
果 。 在 本 书 附录 中 ， 结 合 终 端 资 产 的 安全 性 特点 ， 又 引入 了 资产 生命 周期 、 人 员 和 合 规 性 要 
求 3 个 要 素 ， 以 便 更 突出 地 反映 终端 资产 所 面临 风险 的 影响 ， 便 于 终端 安全 管理 者 关注 重要 
风险 ， 在 同样 投入 下 ， 发 挥 更 大 的 保障 能 

因 资 产 识别 中 涉及 物理 位 置 、 采 购 日 期 、 设 备 型 号 等 无 法 上 自动 识别 的 信息 ， 不 存在 自动 
完成 资产 识别 的 工具 ， 但 可 借助 带 有 资产 识别 和 管理 功能 产品 快速 完成 资产 识别 活动 。 终 端 
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安全 管理 体系 的 技术 支撑 平台 中 终端 安全 防护 平台 的 客户 端 、 终 端 安全 管理 平台 中 的 脆弱 性 
管理 子 系统 都 可 以 完成 对 具有 IP 地 址 终端 资产 信息 的 自动 收集 (图 5-2)。 商 业 扫描 器 也 可 
实现 IP 地 址 终端 资产 部 分 信息 的 收集 。 


终端 资产 的 


软 硬 件 信 息 


终端 资产 的 软件 信息 


终端 资产 的 软件 信息 


i a i es。 ass。 es。 as。 as。 aa。 aa。 as。 aas。 i i as。 as。 as a aa ua。 am。 ae 


图 5-2 资产 识别 自动 化 工具 工作 示意 图 
资产 识别 通 第 采用 人 工 识别 加 工具 方法 进行 。 资 产 的 人 工 识别 活动 采用 记录 表格 方式 进 
行 ， 表 格 中 信息 采用 手工 或 自动 方式 导入 到 终端 安全 管理 系统 中 ， 完 成 终端 安全 管理 系统 部 
署 之 初 的 资产 预 置 工作 。 人 工 识别 表格 参见 表 5-2。 


表 5-2 人工 识别 表 


资产 识别 记录 单 


用 户 信息 
邮箱 
资产 信息 
人 P 地 址 | 物理 位 置 
机 密 性 要 求 
完整 性 要 求 
可 用 性 要 求 
安全 控制 措施 
负责 人 
备注 
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终端 安全 管理 体系 中 技术 支撑 平台 的 部 署 需 基于 现 有 网 络 进行 ， 因 此 ， 在 资产 识别 过 程 
中 应 一 并 获取 最 新 的 、 详 细 的 网 络 拓扑 图 ， 以 及 行业 终端 资产 使 用 的 特殊 性 要 求 〈 如 税务 行 
业 中 的 业务 专用 机 和 专用 U 盘 等 )， 这 将 有 助 于 完备 地 进行 资产 识别 和 后 续 终端 安全 管理 系 
统 的 部 署 实 施 。 


5.3 ”识别 终 痛 威 胁 


终 病 安全 威胁 识别 主要 是 识别 对 被 评估 组 织 终端 资产 直接 或 间接 构成 破坏 可 能 性 的 因 
素 。 威 胁 是 构成 信息 安全 风险 不 可 缺少 的 要 素 之 一 ， 当 终端 资产 存在 脆弱 性 且 相 应 的 安全 控 
制 措施 缺失 或 薄弱 的 条 件 下 ， 威 胁 因素 通过 茶 种 途径 作用 在 特定 的 终端 资产 上 ， 破 坏 其 一 个 
或 多 个 安全 特定 ， 产 生 安全 事件 。 

识别 终端 安全 威胁 的 主要 目的 是 构建 终端 安全 威胁 场景 ， 进 行 更 为 有 效 的 风险 分 析 。 

威胁 识别 活动 中 需要 识别 实际 威胁 和 潜在 威胁 。 

实际 威胁 : 指 的 是 被 评估 组 织 近期 内 曾经 实际 发 生 过 的 威胁 。 

潜在 威胁 : 指 的 是 根据 当前 总 体 威胁 态势 可 识别 的 被 评估 组 织 潜在 的 威胁 。 

威胁 场景 的 实质 是 为 每 个 关键 资产 或 关键 资产 类 别 与 其 所 面临 的 实际 和 潜在 的 威胁 建立 
对 应 关系 ， 这 样 做 的 好 处 是 排除 那些 不 可 能 存在 的 “关键 资产 -威胁 ”对 ， 避 免 在 风险 识别 过 
程 中 浪费 时 间 和 人 力 。 

在 威胁 场景 中 不 仅 建立 起 了 关键 资产 与 其 面临 威胁 之 间 的 对 应 关系 ， 还 明确 了 威胁 来 


源 、 途 径 和 结果 ， 有 利于 后 续 风 险 分 析 阶 段 中 结合 脆弱 性 和 已 有 的 安全 控制 措施 进行 影响 和 
可 能 性 分 析 。 
为 进行 有 效 的 风险 分 析 ， 威 胁 场 景 构建 过 程 中 需 遵循 全 场景 、 全 过 程 和 全 方位 原 


1) 全 场景 ”从 业务 的 视角 ， 分 别 用 关键 资产 ， 威 胁 ， 包 括 主体 、 途 径 、 方 位 、 行 为 、 
结果 ， 来 构建 一 个 围绕 关键 资产 或 天 键 资 产 类 的 全 面 的 威胁 场景 。 

2) 全 过 程 ”涉及 终 疹 资产 使 用 全 生命 周期 ， 包 括 入 网 阶段 、 运 行 阶段 、 维 修 阶段 、 报 
废 阶段 。 

3) 全 方位 ”不仅 考虑 内 部 环境 ， 还 要 考虑 外 部 环境 和 移动 计算 环境 ;不仅 考 虑 到 技术 
因素 ， 还 要 考虑 到 管理 的 因素 。 

终端 资产 可 以 分 为 终端 资产 、 带 有 移动 介质 的 终端 资产 和 终端 信息 资产 三 大 类 ， 以 下 将 
分 别 为 三 大 关键 资产 类 构建 威胁 场景 。 

【场景 1】 针对 带 有 移动 介质 的 终端 的 威胁 场景 。 

终端 安全 管理 对 象 使 用 中 存在 关联 关系 ， 因 此 ， 在 构建 威胁 场景 时 要 全 面 考虑 。 本 场景 
重点 分 析 了 带 有 移动 介质 使 用 过 程 的 终端 所 面临 的 威胁 (图 5-3)。 

移动 介质 在 终端 使 用 过 程 中 ， 需 要 面 对 以 下 的 威胁 ， 但 不 限于 这 些 威胁 。 

(1) 移动 存储 介质 〈 注 册 ) 可 以 从 文件 保险 箱 中 操作 文件 

1) 注册 过 的 移动 存储 介质 是 可 以 直接 访问 受 保护 的 文件 ， 该 过 程 属于 重要 文件 可 能 离 
网 的 合法 方式 之 一 。 

2) 移动 存储 介质 不 区 分 使 用 权限 ， 可 能 存在 信息 扩散 。 
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、 


文件 安全 操作 


文件 授权 访问 


移动 存储 介质 
(注册 ) 
移动 存储 人 


外 部 终端 信息 非 授权 用 户 信息 授权 用 户 


图 5-3 ” 带 有 移动 介质 的 终端 的 威胁 场景 
(2) 文件 保险 箱 限制 非 授 权 用 户 访问 


v ne A ere 不 可 以 是 主 公开 
流程 申请 ， 经 过 审批 之 后 才能 提供 给 非 授权 用 户 

v 文件 保险 箱 中 的 文件 与 用 户 身 份 相关 ， 非 信息 拥有 者 不 可 以 查看 

v 重要 文件 没有 放 入 文件 保险 箱 可 能 存在 非 授 权 用 户 的 操作 和 外 沪 

(3) 授权 用 户 从 文件 服务 器 获取 共享 的 授权 文件 

w 授权 用 户 通 过 服务 器 共享 授权 文件 只 能 在 文件 保险 箱 中 打开 

(4) 移动 存储 介质 〈 非 注册 ) 在 Agent 上 进行 操作 

v 非 注册 的 移动 存储 介质 在 Agent 操作 可 能 带 来 信息 外 汇 

v 非 注册 的 移动 存储 介质 在 Agent 操作 可 能 带 来 病毒 /木马 

v 非 注 册 的 移动 存储 介质 在 Agent 操作 可 能 带 来 文件 的 非法 摆渡 

(5) 信息 非 授权 用 户 在 Agent 上 的 文件 操作 受到 限制 

v 信息 非 授 权 用 户 不 可 以 查看 文件 保险 箱 中 非 授 权 的 内 容 

v 信息 非 授权 用 户 可 能 查看 和 操作 终端 上 没有 放 入 文件 保险 箱 中 的 文件 

v 信息 非 授权 用 户 可 能 通过 其 他 方式 操作 和 传递 终端 本 地 文件 


再 要 采用 相关 
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针对 带 有 移动 介质 的 终端 的 威胁 场景 分 析 见 


表 5-3 针对 带 有 移动 介质 的 终 


表 5-3。 


端的 威胁 场景 分 析 示 意 表 
威胁 


操作 重要 文件 


网 络 
要 文件 不 放 入 文件 保险 箱 
物理 
意 行为 “| 使 用 非 注册 移动 介质 
多 动 介 质 好 前 
| 操作 系统 异常 
系统 - | 
外 部 — 
环境 
usr 
外 部 
al 
网 络 贡 意 行为 “| 故意 在 非 授权 区 域 使 用 注册 
泣 动 介质 
终端 上 使 用 注册 移动 介质 
故意 行为 ”| 非法 使 用 注册 移动 介质 


为 


~ 


行为 


移动 介质 


这 


省 


a 
dl 


渤 | 淡 | 器 
池 | 于 


这 


2 
SN 
ql 


省 


格式 化 注册 移动 介质 
无 意 中 在 业务 网 络 中 使 
注册 移动 介质 


口令 泄密 


移动 介质 于 失 


了 


TT 


硬件 接口 变化 


移动 介质 损坏 


eal 


nn 


结 
言 息 外 污 
信息 外 沪 、 

受 入 侵 


信息 外 泄 


信息 扩散 


世 


言 轧 外 
言 息 丢 失 
信息 外 ; 
信息 外 泄 
言 息 外 流 
言 息 损坏 
监控 失效 
无 法 使 用 
文件 损坏 
文件 同步 
言 息 扩散 
信息 扩散 


ES 
受 影响 


信息 外 泄 


信息 外 ; 


信息 外 ; 
数据 损坏 


言 息 外 


言 息 外 


言 息 外 


信息 无 法 使 用 


无 法 使 用 、 信 息 丢 失 
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【场景 2】 业务 专 网 中 的 终端 安全 威胁 场景 分 析 (重点 从 终端 的 使 用 环境 角度 进行 分 析 ). 


终端 处 在 不 同 的 应 用 环境 中 所 面临 的 安全 威胁 有 所 不 同 ， 以 下 基于 终端 在 业务 专 网 中 的 
使 用 进行 威胁 分 析 〔 图 5-4)。 


pa 


ps 


A 


防火 墙 


杀毒 软件 
服务 器 ， 


终端 安全 


防护 服务 器 


人 太 网 _\ 


终端 终端 Agent Agent 
(非法 资产 ) “(违规 资产 ) (正常 使 用 ) (违规 使 用 ) (非法 外 联 ) 


临时 人 员 内 部 人 员 外 部 人 员 
图 5-4 业务 专 网 中 终端 的 威胁 场景 
业务 专 网 正常 使 用 过 程 中 ， 可 能 存在 (但 是 不 限于 〉 以 下 内 容 的 威胁 : 
(1) 资产 合法 性 威胁 
资产 是 否 符合 登记 信息 的 内 容 
资产 是 否 配属 登记 信息 关联 的 人 员 


Vv 
Vv 
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Vv 


资产 是 否 安装 了 规定 的 软件 
资产 是 否 安装 了 规定 的 防 病毒 工具 
资产 是 否 满足 网 络 安全 对 于 操作 系统 的 要 求 


资产 是 否 升级 了 防 病 毒 工具 的 病毒 库 


(3) 终端 行为 违规 


Vv 


人 人 人 人 人 人 人 人 人 人 人 人 人 人 人、 


终端 使 用 者 是 否 操作 了 未 经 授权 的 文件 

终端 是 否 同时 连通 内 外 网 

终 剖 使 用 者 是 否 运 行 了 对 终 症 或 者 网 络 有 不 良 影响 的 进程 
终 剖 使 用 者 是 否 开 局 了 对 终端 或 者 网 络 有 不 恨 影响 的 站 口 
终端 使 用 者 是 否 访问 了 受 限 的 网 络 

终端 使 用 者 是 否 连接 了 可 能 对 终端 或 者 网 络 有 不 民 影 响 的 外 设 
终 剖 使 用 者 是 否 设 置 了 本 地 共享 

终 剖 使 用 者 是 否 访 问 远 程 共享 

终 剖 使 用 者 是 人 否 占用 了 过 多 的 网 络 流量 

终端 使 用 者 是 人 否 执行 了 拨号 操作 

终端 使 用 者 是 人 否 占用 了 过 多 的 系统 资源 


v 终 剖 使 用 者 是 否 使 用 了 非 授 权 的 网 络 资源 
(4) 操作 系统 漏洞 威胁 


Vv 


操作 系统 面 对 补 丁 升级 不 完整 威胁 


v 操作 系统 面 对 漏 洞 不 解决 威胁 

v 操作 系统 面 对 口 令 不 及 时 修改 威胁 

v 操作 系统 面 对 口 令 复 杂 度 不 足 威胁 

v 操作 系统 面 对 用 户 账号 变更 威胁 

v 操作 系统 面 对 用 户 权限 变更 威胁 

v 操作 系统 面 对 使 用 者 暂时 离开 他 人 使 用 的 威胁 


针对 业务 专 网 中 的 终端 安全 威胁 场景 分 析 见 表 5-4。 


关键 资产 


业务 专 网 
中 终端 次 


和 的 


Sd 
TY 


及 < 


表 5-4 针对 业务 专 网 中 的 终端 安全 威胁 场景 分 析 示 意 表 


威胁 0 


终端 同时 连通 内 外 网 


3 符合 登记 信息 的 内 容 


1 影响 终端 的 正 
升级 了 防 病毒 工具 的 病毒 库 常 运行 
者 是 否 操作 了 未 经 授权 的 文件 
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终端 使 用 者 是 否 运行 冬 端 或 者 网 


人 为 威胁 


业务 专 网 
中 终端 资 
产 


非 人 为 威胁 


外 部 
系统 


意外 行为 


【场景 3】 信息 扩散 安全 威胁 场景 分 析 。 


言 奶 扩散 和 泄密 场景 (图 5-5) 中 ， 


v 信息 非 授 权 用 户 非 法 访问 重要 信息 


v 重要 信息 非法 修改 威胁 
v 重要 信息 非法 传递 威胁 


v 重要 信息 违规 访问 威胁 
重要 信息 违规 修改 威胁 


v 重要 信息 违规 传递 威胁 
v 重要 信息 违规 打印 威胁 


人 
言 恩 的 来 源 包括 终端 自己 产生 的 信息 和 外 部 进入 的 信息 《如 从 主管 机 关 复 制 带 入 的 


信息 六 


信息 分 为 涉 密 信 息 、 工 作 秘 密 
县 属于 国家 及 各 级 保密 机 构 管理 范围 ， 内 部 非 公开 信息 和 内 部 公开 信息 不 是 管理 重点 ， 工 作 
秘密 信息 是 信息 防 扩 散 管 理 的 重点 。 


6 


吾 娠 、 内 部 非 公 开 信 妃 和 内 部 公开 信息 4 


后 有 不 良 影响 的 进程 
终端 使 用 者 是 否 开启 了 对 终端 或 者 网 


络 有 不 良 影响 的 端口 
终端 使 用 者 是 否 访问 了 受 限 的 网 络 


端 使 用 者 是 否 设置 了 本 地 共享 

端 使 用 者 是 否 访问 远程 共享 
作用 者 是 占用 了 过 多 的 网 络 流量 
端 使 用 者 是 否 执行 了 拨号 操作 


终端 使 用 痢 是 否 占 用 了 过 多 的 系统 资源 


终端 使 月 


昌 者 是 否 使 用 了 非 授权 的 网 络 


终端 使 用 者 是 否 连 接 了 可 能 对 终端 或 者 
网 络 有 不 良 影响 的 外 设 


操作 系统 面 对 使 用 者 暂时 离开 他 人 使 


用 的 威胁 


对 口令 不 及 时 修改 威胁 
对 口令 复杂 度 不 足 威胁 
用 户 账号 变更 威胁 
用 户 权限 变更 威胁 


i 面 对 补 丁 升级 不 完整 威胁 
i 面 对 漏洞 不 解决 威胁 


包含 (但 是 不 限于 〉 以 下 的 威胁 : 


影响 终端 的 正 
常 运行 


类 。 其 中 涉 密 信 


ri 


外 部 网 络 之 之 _ 

~ 人 

NE 事件 分 析 Ea 文件 操作 日 志 
sp 凶 


防火 
防护 平台 管理 平台 
外 网 访 门 文件 有 限 共享 
db 事件 上 报 文件 保险 箱 


人 文件 授权 访问 


: A 下 
言 息 发 布 用 户 上 p= SP 


大 < 
Agent Agent 
打印 机 


信息 非 授权 用 户 信息 授权 用 户 
图 5-5 信息 扩散 的 威胁 场景 


场景 分 析 要 履 盖 信息 自身 生命 周期 。 
信息 扩散 安全 威胁 场景 分 析 见 表 5-5。 


表 5-5 信息 扩散 安全 威胁 场景 分 析 示 意 表 
关键 资产 威胁 途径 | 方位 意 图 结果 
言 息 外 浊 
言 息 外 浊 
故意 行为 要 信息 非法 修改 言 息 损坏 


言 息 损坏 


鞭 
uy 
A 
过 


言 轧 扩散 


测 
次 
学 
—、 


J 为 EE 要 信息 非法 传递 言 轧 扩散 
言 轧 扩散 
言 轧 扩散 


深 
泪 
这 


终端 自己 
产生 的 


到 
信息 


水 | 玫 | 就 
位 | 名 | 六 
ed 
瀛 | 注 | 六 


深 
泪 
可 
这 


非 人 为 威胁 


水 | 玫 | 让 
痊 | 涡 | 六 
全 | 半 | 合 
| 六 | 这 


梧 
泪 
二 
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( 续 ) 
关键 资产 | 威胁 主体 | 威胁 途径 意 图 威胁 结 果 
要 信息 寺 计 息 外 湛 
外 部 
庆 息 外 湛 
用 要 信息 非法 修改 过 息 损 坏 


言 息 损坏 


信息 非 授 权 用 户 非 法 访问 重 


言 轧 扩散 


多 


要 信息 非法 传递 言 轧 扩散 
言 轧 扩散 
言 轧 扩散 


外 来 信息 


| 


系统 


寺 SS 

HK HK 

Tt™ 

淡 | 革 | 剖 | 革 | 
们 | 名 | 六 | 雇 
A A A A 
| a 


非 人 为 威胁 


> | 
条” 2 
-了 yy. 
， 
站 一 
4 YY | a 
ey 
故意 行为 
外 音 


识别 出 终端 威胁 后 ， 和 需要 通过 判断 威胁 出 现 的 频率 ， 对 于 威胁 的 影响 程度 进行 评估 ， 进 
而 为 相关 风险 定 级 提供 参考 。 这 个 过 程 通常 是 根据 经 验 和 (或 ) 有 关 的 统计 数据 来 进行 判 
断 。 一 般 雷 要 综合 考虑 以 下 3 个 方面 ， 以 形成 在 茶 种 评 佑 环境 中 各 种 威胁 出 现 的 频率 : 

1) 以 往 安全 事件 报告 中 出 现 过 的 威胁 及 其 频率 的 统计 。 

2) 实际 环境 中 通过 检测 工具 以 及 各 种 日 志 发 现 的 威胁 及 其 频率 的 统计 。 

3) 近 一 两 年 来 国际 组 织 发 布 的 对 于 整个 社会 或 特定 行业 的 威胁 及 其 频率 统计 ， 以 及 发 
布 的 威胁 预警 。 

可 以 对 威胁 出 现 的 频率 进行 等 级 化 处 理 ， 不 同等 级 分 别 代表 威胁 出 现 的 频率 的 高 低 。 等 
级 数值 越 大 ， 威 胁 出 现 的 频率 越 高 。 

识别 终端 威胁 所 采用 的 工具 和 方法 主要 是 人 工 访 谈 和 工具 这 两 种 。 人 工 访 谈 主要 需要 记 
录 单 ， 威 胁 识别 工具 通常 采用 安全 审计 工具 、 终 疹 安 全 防护 系统 、 漏 洞 扫 描 。 


5.4 识别 终 病 脆 能 性 


脆弱 性 是 对 一 个 或 多 个 资产 弱点 的 总 称 。 脆 弱 性 识别 也 称 为 弱点 识别 。 弱 点 是 资产 本 身 
存在 的 ， 如 果 没 有 相应 的 威胁 发 生 ， 单 纯 的 弱点 本 吴 不 会 对 资产 造成 损害 ， 而 且 如 果 系 统 足 
够 强健 ， 再 严重 的 威胁 也 不 会 导致 安全 事件 ， 并 造成 损失 ， 即 威胁 总 是 要 利用 资产 的 弱点 才 
可 能 造成 危害 。 
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资产 的 脆弱 性 具有 隐蔽 性 ， 有 些 弱点 只 有 在 一 定 条 件 和 环境 下 才能 显现 ， 这 是 脆弱 性 识 
别 中 最 为 困难 的 部 分 。 需 要 注意 的 是 ， 不 正确 的 、 起 不 到 应 有 作用 的 或 没有 正确 实施 的 安全 
措施 本 身 就 可 能 是 一 个 弱点 。 

脆弱 性 通常 包括 技术 脆弱 性 和 管理 脆弱 性 。 其 中 各 类 技术 脆弱 性 的 存在 ， 增 加 了 终端 安 
全 事件 发 生 的 可 能 性 ， 加 大 了 终端 的 安全 风险 。 因 此 在 对 终端 安全 风险 进行 管理 时 需要 对 终 
端 中 的 脆弱 性 进行 识别 。 

为 了 避免 在 脆弱 性 识别 过 程 中 发 生 遗 漏 ， 应 围绕 终端 相关 各 对 象 指明 需 重 点 识别 的 脆弱 
性 。 脆 弱 性 的 识别 可 以 以 资产 为 核心 ， 主 要 从 技术 和 管理 两 个 方面 进行 ， 技 术 脆 弱 性 涉及 物 
理 层 、 网 络 属 、 系 统 层 、 应 用 层 等 各 个 层面 的 安全 问题 ; 管理 脆弱 性 又 可 分 为 技术 管理 和 组 
织 管理 两 方面 ， 前 者 与 具体 技术 活动 相关 ， 后 者 与 管理 环境 相关 。 


Es 终 并 安 全 威胁 与 脆弱 性 


为 便于 进行 进一步 的 风险 分 析 工 作 ， 在 识别 脆弱 性 之 后 ， 需 将 其 与 能 够 利用 它 的 威胁 进 
行 映 射 。 表 5-6 为 终端 脆弱 性 和 威胁 映射 表 。 


表 5-6 脆弱 性 与 威胁 对 应 关系 


类 型 脆弱 性 子 类 描述 威胁 映射 
境 类 


缺乏 对 建筑 物 门窗 的 保护 盗 狠 或 故意 破坏 
物理 环境 环 对 机 房 或 办 公 室 的 物理 访问 控制 不 足 盗 狠 或 故意 破坏 
电力 供应 不 稳定 电压 波动 


We 


电压 敏感 性 电压 波动 
温度 敏感 性 温度 大 幅度 变化 
温度、 灰尘 、 尘 土 等 化 感性 潮湿 、 灰 尘 、 尘 土 等 
电磁 辐射 敏感 性 电子 于 扰 
缺少 配置 更 改 控制 配置 人 员 错 误 
未 停 掉 Guest 账户 系统 被 非 授权 使 用 
本 出 队 不 必要 的 用 户 了 户 《各 测 试用 了 户 、 | 系统 神权 合用 
技术 | 
终端 ( 含 操作 未 将 系统 的 Administrator 账户 改名 暴力 破解 
系统 及 系统 服 多 人 共用 一 个 账号 系统 被 非 授权 使 用 
2 未 启用 密码 复杂 性 策略 户 身份 被 冒名 
未 启用 密码 长 度 策略 ] 户 身份 被 冒名 
软件 类 SS 
未 启用 账户 锁定 策略 系统 被 非 授权 使 用 
未 启用 口令 定期 更 改 策略 系统 被 非 授权 使 用 
离开 电脑 时 没有 退出 全 非 授权 方式 使 用 系统 
未 关闭 不 必要 的 服务 非 授权 方式 使 用 系统 
未 关闭 不 必要 的 端口 非 授权 方式 使 用 系统 
未 关闭 默认 共享 非 授权 方式 使 用 系统 
未 在 关机 时 清除 页 面 文件 信息 泄漏 
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类 型 脆弱 性 子 类 描述 威胁 映射 


技术 


网 络 结构 通信 


应 用 系统 


技术 管理 


目 理 
组 织 管理 
工作 流程 


业务 应 用 


5.6 终 痛 安全 风险 分 析 模 型 


基于 所 识别 的 资产 、 所 识别 的 威胁 和 所 识别 的 脆弱 性 可 对 风险 进行 有 效 分 析 。 
基于 图 5-6 安全 风险 分 析 示 意图 ， 可 见 风险 融 低 可 通过 以 下 方式 获得 。 

1) 风险 = 可 能 性 后 果 。 

2) 信息 安全 风险 值 = 安全 事件 的 可 能 性 & 造 成 的 损失 。 

3) 安全 事件 的 可 能 性 = 威胁 & 脆 弱 性 。 

4) 造成 的 损失 = 资产 价值 & 脆 弱 性 。 

上 面 的 “&&” 符 号 表示 关联 。 
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威胁 出 现 的 频率 


威胁 识别 


脆弱 性 识别 


安全 事件 的 可 能 性 


脆弱 性 的 严重 程度 风险 值 


安全 事件 造成 的 损失 


资产 识别 资产 价值 


图 5-6 安全 风险 分 析 模 型 示意 图 


( 续 ) 


系统 显示 上 次 登录 用 户 名 系统 被 非 授权 使 用 
存在 广为人知 的 系统 漏洞 系统 被 非 授权 使 用 
I OR | pe 

终端 (全 操作 错误 的 访问 权限 分 配 非 授权 的 方式 使 用 系统 
系统 及 系统 了 对 软件 下 载 和 使 用 没有 控制 恶意 软件 

不 必要 的 服务 被 启用 非 授权 方式 使 用 系统 

未 设置 补丁 更 新 策略 系统 被 非 授权 使 用 

未 安装 病毒 软件 病毒 木马 

未 设置 病毒 库 升 级 策略 病毒 木马 


6. 儿 种 常见 分 类 万 式 


终端 应 用 的 过 程 中 操作 分 类 复杂 ， 风 险 点 数量 众多 ， 这 就 导致 对 于 终端 安全 风险 的 分 
析 ， 很 难 进 行 简单 的 归 类 处 理 ， 往 往 对 于 一 个 风险 点 可 能 存在 多 种 角度 分 析 ， 不 同 的 角度 分 
析 的 方式 和 侧重 是 不 同 的 ， 对 于 风险 的 估计 也 是 不 同 的 ， 因 此 对 风险 进行 合理 分 类 有 利于 风 
险 的 发 现 和 省 控 。 本 章 会 基于 不 同 维度 对 风险 进行 分 解 ， 把 风险 分 解 结构 (RBS)〉 用 图 解 表 
示 的 形式 进行 说 明 。 

第 见 的 分 解 方式 有 : 

1. 基于 风险 来 源 

基于 风险 来 源 分 解 的 第 一 层 是 按 内 部 和 外 部 分 解 ， 第 二 层 是 软件 、 人 硬件、 移动 介质 等 进 
行 分 解 。 


具体 如 图 6-1 所 示 。 


软件 硬件 数据 和 文件 网 络 移动 介质 


运行 状态 资产 流失 信息 扩散 和 泄漏 网 络 资源 分 配 信息 非法 摆渡 
漏洞 威胁 性 能 状态 网 络 准 入 认证 病毒 /木马 传播 
冲突 威胁 网 络 设备 网 络 访问 控制 


图 6-1 基于 风险 来 源 的 终端 安全 风险 分 类 示意 图 


基于 来 源 的 风险 分 类 便于 区 分 风险 发 生 的 原因 ， 利 于 把 握 风 险 源 头 ， 有 针对 性 实施 管控 
于 段 。 

内 部 是 指 在 终端 应 用 过 程 中 ， 由 于 终端 自身 是 风险 的 源头 ， 此 类 风险 的 管控 要 以 终端 目 
身 为 主 进行 处 理 。 内 部 区 分 为 软件 、 便 件 、 数 据 和 文件 、 网 络 。 

1) 软件 的 问题 ， 比 较 容 易 定 位 和 跟踪 。 如 果 有 软件 使 用 的 安全 规范 ， 和 常用 软件 的 问题 
通常 都 可 以 进行 预防 ， 但 是 如 果 没 有 规范 ， 根 据 个 人 喜好 选择 软件 ， 则 对 管理 的 有 要求 很 高 ， 
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出 现 问 题 的 危险 性 也 很 高 ， 如 软件 在 运行 过 程 中 对 系统 资源 的 占用 情况 ， 对 系统 性 能 的 影响 
情况 ， 软 件 自身 的 安全 漏洞 问题 ， 软 件 之 间 的 冲突 问题 等 。 软 件 自身 的 安全 漏洞 问题 和 软件 
之 间 的 冲突 问题 是 终端 安全 管理 过 程 中 最 大 的 风险 点 ， 安 全 漏洞 会 让 所 有 的 安全 防护 都 成 为 
纸老虎 ， 被 轻易 地 绕 开 。 而 软件 之 间 的 冲突 问题 是 工作 中 最 大 的 隐患 和 威胁 ， 软 件 的 冲突 包 
含 端口 、 系 统 资 源 、 驱 动 程序 等 ， 其 中 驱动 程序 的 冲突 会 导致 终端 操作 系统 异常 ， 常 见 的 现 
象 就 是 蓝屏 和 黑屏 ， 甚 至 导致 操作 系统 不 可 修复 的 损坏 。 

2) 硬件 问题 ， 属 于 物理 设备 问题 ， 需 要 配合 行政 管理 进行 跟踪 。 终 端 最 常 遇 到 的 硬件 
问题 就 是 设备 维修 ， 终 端 维修 也 是 安全 管控 过 程 中 ， 最 难以 保障 安全 的 一 个 环节 ， 因 为 会 涉 
及 厂商 和 维修 商 等 ， 人 员 和 流程 都 很 难 掌控 ， 只 能 在 维修 前 进行 登记 和 处 理 ， 维 修 后 再 进行 
验证 和 检查 ， 不 过 由 于 部 分 设备 比较 特殊 ， 例 如 硬盘 等 ， 可 能 会 需要 放弃 维修 ， 因 为 维修 的 
风险 明显 高 于 直接 报废 更 换 新 设备 。 硬 件 问题 依赖 行政 管理 ， 表 现在 设备 的 登记 和 状态 的 更 
新 维护 上 ， 需 要 有 配套 的 行政 制度 管理 ， 更 要 有 行政 手段 保证 制度 的 执行 ， 例 如 多 网 卡 的 使 
用 、 硬 盘 拆卸 和 更 换 等 问题 ， 在 管理 工具 的 配合 下 ， 是 可 以 发 现 的 ， 但 是 如 果 没 有 行政 制度 
和 规范 ， 工 具 发 现 的 种 种 威胁 就 会 无 法 防范 。 

3) 数据 和 文件 ， 是 信息 安全 风险 问题 。 数 据 的 处 理 是 工作 中 必 不 可 少 的 ， 但 是 数据 的 
安全 确认 是 工作 中 最 容易 疏忽 的 ， 数 据 的 任意 存放 和 传递 会 导致 信息 的 扩散 〈 如 未 经 授权 的 
内 部 人 员 查 看 了 数据 )， 甚 至 引起 信息 的 泄密 (如 未 经 许可 的 外 部 人 员 查 看 了 数据 )。 数 据 和 
文件 的 差别 在 于 ， 数 据 是 工作 中 的 信息 ， 文 件 是 信息 保存 之 后 的 形式 ， 数 据 在 终端 上 的 存放 
方式 一 般 是 文件 ， 可 能 数据 在 处 理 过 程 中 是 安全 的 ， 但 是 保存 成 文件 之 后 ， 就 不 再 受到 业务 
系统 的 保护 ， 而 是 操作 系统 可 以 直接 进行 操作 和 处 理 的 ， 终 端的 任何 使 用 者 都 可 以 操作 ， 因 
此 对 于 重要 文件 的 操作 也 应 该 纳入 监管 。 

4) 网 络 是 终端 安全 中 比较 特殊 的 一 个 部 分 ， 因 为 网 络 本 身 属 于 外 部 ， 但 是 网 络 参 数 和 
认证 ， 甚 至 包括 一 部 分 控制 ， 都 还 是 在 终端 上 来 完成 的 。 终 端 操 作 系 统 控制 的 网 络 参 数 ， 包 
括 IP、MAC、DNS 等 ， 这 些 内 容 不 仅 对 自身 使 用 网 络 有 影响 ， 对 同 处 在 一 个 网 络 的 其 他 终 
端 也 是 有 影响 的 。 解 决 网 络 参数 问题 ， 要 从 终端 和 网 络 规 划 两 个 角度 去 处 理 ， 终 端 上 规范 网 
络 参数 使 用 ， 但 是 网 络 参数 的 合理 性 还 是 要 从 网 络 规划 上 进行 处 理 ， 比 较 理想 的 方式 是 终端 
不 能 自行 控制 网 络 参数 ， 而 应 统一 集中 由 网 络 规 划 进 行 处 理 。 网 络 准 入 认证 是 业务 内 网 常用 
的 限制 接 入 手段 ， 一 般 是 配合 网 关 类 设备 ， 这 样 才能 保障 实现 效果 ， 但 是 认证 需要 客户 端 ， 
客户 端 就 是 属于 终端 的 内 部 问题 了 。 网 络 准 入 认证 一 般 是 网 络 访问 控制 配合 在 一 起 ， 因 为 仅 
仅 使 用 网 络 准 入 ， 只 能 保障 未 经 授权 的 终端 和 用 户 的 接 入 限制 ， 但 是 对 于 使 用 的 限制 就 需要 
访问 控制 来 实现 了 。 

外 部 是 指 在 终端 使 用 过 程 中 ， 问 题 来 源 不 是 在 终端 上 的 ， 主 要 是 指 外 设 ， 而 外 设 中 最 容 
易 出 现 问题 的 就 是 移动 存储 介质 。 

移动 存储 介质 是 现在 终端 使 用 中 最 常见 的 外 设 ， 便 于 文件 传递 ， 而 且 外 形 小 巧 ， 深 受 终 
端 使 用 者 的 喜欢 。 但 是 移动 存储 介质 的 管理 却 是 终端 安全 管理 人 员 的 麻烦 。 因 为 移动 存储 介 
质 是 很 难 区 分 用 途 的 ， 公 用 和 私 用 完全 由 使 用 者 控制 ， 使 用 范围 也 很 难 限制 ， 如 果 统 一 下 发 
专用 的 品牌 ， 配 合 专用 的 工具 ， 又 会 导致 使 用 起 来 很 及 烦 ， 慢 慢 的 闲置 之 后 ， 只 能 取消 。 目 
前 比较 合理 的 使 用 方式 是 ， 对 移动 存储 介质 进行 标签 化 管理 ， 限 定 权 限 和 类 别 ， 根 据 不 同 的 
用 途 和 安全 范围 ， 进 行规 范 管 理 。 
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2， 基 于 风险 属性 的 分 类 
基于 风险 属性 分 解 的 第 一 层 是 技术 类 和 管理 类 ， 技 术 类 在 第 二 层 又 可 分 为 基础 安全 、 运 
行 安全 、 信 息 安全 和 平台 自身 安全 等 ， 见 图 6-2。 


IP 资源 使 用 制度 
资产 管理 网 络 运行 信息 扩散 和 泄漏 上 系统 管理 重要 文件 管理 制度 
终端 外 设 终端 运行 系统 健壮 性 准 入 账号 管理 制度 
终端 自身 网 络 边界 
终端 环境 


图 6-2 ”基于 风险 属性 的 终端 安全 风险 分 类 示意 图 


基于 风险 属性 的 终端 安全 分 类 可 有 针对 性 的 选择 管控 措施 ， 如 技术 类 风险 重点 基于 技术 
手段 自动 解决 问题 ， 管 理 类 风险 重点 在 管理 的 制度 、 流 程 和 人 员 上 下 功夫 。 

技术 类 是 依赖 工具 实现 的 ， 工 具 包 括 客 户 端 软件 、 网 络 管理 工具 、 信 息 安 全 工具 等 ， 技 
术 类 比较 典型 的 分 类 方式 包括 基础 安全 、 运 行 安全 、 信 息 安 全 、 平 台 自 身 安 全 。 

1) 基础 安全 ， 包 括 资 产 管理 安全 、 终 端 外 设 安 人 全、 终端 目 身 安 全 、 终 端 环境 安全 等 。 
基础 安全 是 终 疹 安全 威胁 的 根源 ， 和 是 每 个 终端 都 不 可 以 避免 的 。 资 产 管 理 安全 是 终端 在 管理 
过 程 中 进行 定位 的 基础 ， 对 资产 进行 管理 ， 是 区 分 终端 建立 唯一 性 识别 的 基础 ， 也 是 终端 安 
全 应 对 不 同 阶段 的 主要 管理 手段 。 终 端 首先 是 资产 ， 只 有 对 资产 进行 管理 ， 才 能 确定 终端 的 
来 源 和 用 途 ， 才 能 进行 分 类 的 安全 管理 和 应 对 。 终 端 外 设 安全 是 指 红 外 、 蓝 牙 、 无 线 网 卡 、 
移动 存储 介质 等 ， 这 些 设 备 对 于 终端 的 信息 安全 是 影响 很 大 的 ， 终 端 除了 网 络 之 外 的 通信 就 
征 靠 外 设 实 现 的 ， 外 设 可 以 跨越 网 络 ， 实 现 信 息 的 通信 ， 在 此 过 程 中 ， 安 全 就 成 为 了 问题 ， 
不 止 数据 和 信息 可 能 扩散 或 者 泄密 ， 病 毒 和 木马 也 有 可 能 会 被 引进 。 终 端 目 身 安 全 征文 持 终 
端 操作 系统 的 安全 ， 包 括 补 本 、 漏 洞 、 系 统 性 能 、 网 络 参数 等 等 ， 终 端 目 身 安全 是 终端 对 于 
目 身 防护 的 重 中 之 重 ， 因 为 终端 自身 都 不 能 保障 安全 的 话 ， 其 他 的 安全 就 更 不 可 能 保障 了 。 

2) 运行 安全 ， 包 括 网 络 运行 安全 、 终 疹 运 行 安全 、 网 络 边界 安全 等 。 运 行 安全 是 终端 
的 环境 和 终端 的 使 用 产生 的 安全 问题 。 网 络 运行 安全 是 终端 在 工作 中 需要 使 用 网 络 而 产生 的 
威胁 ， 网 络 运行 过 程 中 ， 包 括 接 入 安全 、 认 证 安全 、 访 问安 全 等 内 容 ， 由 于 现在 的 业务 工作 
一 般 都 离 不 开 网 络 ， 网 络 运行 安全 越 来 越 重要 ， 已 经 成 为 终端 安全 工作 的 前 提 。 和 终端 运 行 安 
全 是 指 终 病 运 行 过 程 中 ， 为 了 保障 终端 正常 运行 而 可 能 发 生 的 威胁 ， 终 端的 CPU、 内 存 、 硬 
盘 等 都 可 能 成 为 影响 终端 运行 的 要 素 ， 更 不 用 说 操作 系统 中 运行 的 进程 、 端 口 、 服 务 等 。 

3) 信息 安全 ， 主 要 是 信息 的 防 扩散 和 防 泄密 。 信 息 的 防 扩散 主要 是 在 信息 上 做 权限 区 
分 ， 只 有 这 样 才 能 在 使 用 时 区 分 扩散 的 边界 和 范围 ， 而 信息 上 做 权限 又 是 一 个 比较 厅 烦 的 事 
情 ， 从 现在 技术 手段 上 来 看 ， 所 有 文件 加 密 ， 按 文件 密级 过 滤 是 能 够 满足 要 求 的 最 直接 的 办 
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法 ， 但 是 这 种 方式 对 工作 效率 的 影响 很 大 。 从 信息 安全 的 整体 上 来 看 ， 通 过 定义 信息 的 特 
征 ， 关 注 这 些 特征 的 信息 传递 的 情况 ， 可 以 追查 信息 的 扩散 途径 ， 通 过 限制 信息 的 边界 ， 实 
现 信息 的 安全 ， 这 是 适用 于 信息 安全 要 求 级 别 没有 达到 机 密级 以 上 的 情况 。 信 息 的 防 泄密 ， 
主要 是 针对 信息 的 传递 进行 控制 ， 信 息 一 旦 被 带 走 ， 就 有 泄密 的 可 能 ， 控 制 信息 的 防 泄密 途 
径 ， 就 是 对 信息 的 安全 传递 进行 控制 。 

4) 平台 自身 安全 ， 主 要 是 终端 安全 管理 工具 的 安全 ， 这 就 包括 系统 自身 的 管理 ， 系 统 
健壮 性 等 方面 。 系 统 自身 的 管理 ， 又 包括 系统 参数 、 系 统 性 能 、 系 统 安全 等 等 方面 的 内 容 ， 
对 于 系统 自身 的 管理 重 在 设计 ， 提 前 进行 设计 和 应 对 ， 才 是 处 理 系统 自身 管理 的 基础 。 系 统 
健壮 性 的 方面 ， 是 要 对 系统 的 进行 整体 的 测试 ， 尤 其 是 压力 测试 和 破坏 性 测试 ， 系 统 的 健壮 
性 对 于 系统 的 安全 影响 很 大 ， 系 统 不 能 稳定 安全 地 运行 ， 终 端 安全 就 没有 足够 的 保障 。 系 统 
的 健壮 性 还 体现 在 内 部 逻辑 的 关联 影响 上 ， 如 果 某 个 模块 或 者 环节 出 现 了 异常 ， 那 么 系统 是 
否 还 能 正常 运行 ? 因为 系统 中 部 分 操作 是 由 使 用 者 发 起 的 ， 错 误 的 操作 也 是 应 该 考虑 在 内 
的 ， 错 误 的 操作 是 在 什么 时 间 ， 由 什么 人 发 起 的 ? 操作 的 内 容 和 细节 又 是 什么 ? 这 些 操作 是 
否 能 够 还 原 ? 

管理 类 是 对 于 技术 类 的 补充 ， 技 术 需 要 配合 管理 ， 才 能 让 操作 变 得 有 意义 ， 管 理 配 合 技 
术 才 能 让 管理 的 要 求 落 到 实处 ， 

管理 类 主要 指 工作 制度 、 工 作 规范 、 工 作 手册 、 应 急流 程 等 ， 这 些 内 容 是 指导 技术 类 的 
工具 进行 安全 的 引导 和 预防 。 

3， 基 于 风险 管控 方式 的 分 类 

为 了 降低 和 规避 终端 系统 的 风险 ， 需 综合 运用 技术 和 管理 手段 来 对 风险 进行 管控 。 基 于 
管控 手段 分 析 的 第 一 层 是 风险 发 现 方式 分 类 ， 包 括 系统 自动 发 现 和 结合 人 工 发 现 ， 第 二 层 是 
风险 防护 方式 分 类 ， 包 括 自动 防护 和 结合 人 工 ， 第 三 层 是 具体 的 防护 手段 分 类 ， 包 括 禁 止 行 
为 、 修 改 配置 等 ， 见 图 6-3。 


禁止 行为 
修改 配置 


图 6-3 基于 管控 方式 的 终端 安全 风险 分 类 


基于 管控 方式 进行 区 分 的 目的 ， 是 对 终端 安全 管理 工作 方式 进行 深入 分 析 ， 区 分 和 界定 
在 终端 安全 管理 工作 中 哪些 工作 是 可 以 提前 进行 预防 的 ， 哪 些 工 作 是 需要 人 工 辅助 处 理 ， 哪 
些 是 需要 人 工 主 动 进行 操作 的 ， 哪 些 是 完全 依赖 人 工 完 成 的 。 

1) 上 自动 防护 就 是 依靠 工具 可 以 提前 进行 预防 和 处 理 ， 一 般 是 通过 安全 策略 进行 实现 。 

2) 结合 人 工 的 目 动 防护 ， 是 通过 工具 或 者 客户 端 收 集 到 的 信息 ， 人 为 判断 其 影响 ， 再 
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调整 安全 策略 或 者 进行 直接 处 理 。 


3) 人 工 处 理 就 是 在 工具 和 技术 不 能 处 理 的 情况 下 ， 手 动 进行 终端 安全 管理 的 操作 ， 这 


些 内 容 中 包括 空气 湿度 、 电 路 的 安全 检查 等 等 。 


4) 人 工 处 理 中 也 包括 人 工 主 动 发 起 操作 ， 再 由 工具 配合 进行 终端 安全 管理 的 操作 ， 包 


括 通知 、 通 报 、 消 息 、 软 件 下 发 等 方式 。 


4. 基于 风险 管理 对 象 的 分 类 
终端 包括 PC 设备 、 服 务 器 、 移 动 介 质 和 相关 设备 所 存储 、 处 理 的 信息 ， 见 图 6-4。 


移动 介质 注册 
移动 介质 使 用 
移动 介质 日 志 


重要 文件 扫描 
重要 文件 保存 
重要 文件 解密 
重要 文件 共享 


图 6-4 基于 管理 对 象 终端 安全 风险 分 类 


基于 风险 管理 对 象 的 分 类 其 目的 是 区 分 管理 的 主体 ， 作 用 在 不 同 主体 上 的 风险 在 管理 上 


是 不 一 样 的 ， 尤 其 是 在 管理 方式 、 管 理 手段 、 管 理 目 标 等 方面 都 是 不 同 的 。 明 确 风 险 管理 对 
象 ， 才 能 有 效 地 进行 风险 的 管控 ， 不 会 出 现 明知 道 有 风险 ， 但 是 无 从 下 手 的 情况 。 以 下 是 这 
些 管理 对 象 分 类 的 差别 和 意义 : 


1) 服务 器 对 象 ， 主 要 包含 服务 器 自身 的 补丁 、 漏 洞 以 及 自身 安全 的 维护 等 内 容 。 服 务 


右 是 管理 工作 的 前 提 ， 帮 不 能 保障 服务 占 的 稳定 运行 ， 就 会 严重 影响 业务 工作 ， 导 致 终端 不 
能 工作 ， 


2) PC 对 象 ， 主 要 包含 终端 的 各 种 威胁 ， 包 括 补 本 、 进 程 、 端 口 、Web 访问 、 文 件 共 

外 设 、 准 入 认证 等 。 终 端的 问题 在 狭义 的 范 因 之 内 ， 就 是 PC 的 问题 。 

3) 信息 对 象 ， 主 要 包含 重要 文件 的 扫描 、 保 存 、 解 密 、 共 享 等 。 重 要 文件 是 安全 的 核 

终端 工作 的 主要 内 容 就 是 信息 的 处 理 ， 因 此 对 于 信息 的 处 理 一 定 是 要 全 过 程 的 监控 。 

4) 移动 介质 对 象 ， 主 要 包含 移动 介质 的 注册 、 使 用 和 日 志 管 理 。 移 动 介质 是 终端 管理 
工作 中 很 容易 被 忽略 的 一 个 部 分 ， 也 往往 是 安全 问题 最 容易 出 现 的 地 方 ， 因 此 对 移 
动 介 质 进行 分 类 管理 ， 是 对 终端 安全 管理 的 完善 和 补充 。 

5， 基于 风险 之 间 的 关系 划分 

原生 风险 、 次 生 风 险 和 残余 风险 。 

具体 如 图 6-5 所 示 。 

1) 原生 风险 ”信息 与 资产 本 身 客观 存在 的 、 与 人 员 、 使 用 状态 等 无 关 的 风险 。 
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次 生 风 险 基于 管 
控 过 程 状态 变化 
与 原生 风险 相同 


ma 
; > 实施 风险 


图 6-5 基于 风险 之 间 关 系 的 终端 安全 风险 分 类 


2) 次 生 风 险 ” 实 施 茶 风险 应 对 措施 后 出 现 的 新 风险 称 为 次 生 风 险 。 应 当 识别 并 规划 
应 对 措施 。 

3) 残余 风险 ”是 采取 应 对 措施 后 ， 风 险 无 法 全 部 消除 ， 还 剩余 的 那 部 分 风险 。 也 就 是 
那些 未 能 为 项 目 团队 所 控制 的 战略 风险 和 各 经 营 流程 的 流程 风险 。 残 留 风 险 通常 是 可 接受 
的 ， 如 果 剩 余 的 风险 超过 组 织 的 可 接受 风险 水 平 ， 项 目 团 队 必 须 安 排 进 一 步 的 风险 应 对 措 
施 ， 将 剩余 风险 降低 到 可 接受 的 水 平 。 


ee 构建 终端 安全 风险 立体 分 类 模型 


综 上 所 述 ， 终 站 安全 风险 可 以 从 多 个 维度 进行 划分 。 对 于 PC、 服 务 器 、 移 动 介质 等 不 同 
的 终端 安全 管理 对 象 综合 其 风险 各 维度 可 构成 其 风险 分 类 的 立体 分 类 模型 。 具 体 参见 网 6-6。 


Eo 一 


技术 类 管理 类 


组 织 
管理 
风险 


人 工 管控 


外 部 来 源 
基于 风险 来 源 分 类 


图 6-6 ”终端 安全 风险 立体 分 类 模式 示意 图 
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由 图 6-6 可 以 看 出 ， 任 何 一 个 风险 都 是 该 立体 模型 中 的 一 个 点 。 通 过 不 同 的 维度 ， 可 以 
分 析 风 险 的 来 源 ， 风 险 的 属性 ， 风 险 管理 的 对 象 ， 对 应 风险 的 管控 方式 ， 这 样 就 能 在 明确 的 
对 象 上 选择 行 之 有 效 的 管控 方式 ， 还 可 以 预见 到 针对 这 种 属性 的 处 理 ， 可 以 抑制 住 什么 样 来 
源 的 风险 。 


6.3 终端 安全 风险 图 谱 


1. 基于 风险 来 源 
终端 安全 风险 对 应 的 威胁 来 源 可 分 为 内 部 和 外 部 两 类 。 针 对 不 同 的 威胁 来 源 的 终端 安全 
风险 图 谱 见 图 6-7。 


BR1.1- 终端 自身 安全 风险 H+) 


BR1.2- 终端 环境 安全 风险 (9) 
O | 内 部 | 吉 


部 | 人 和 
RR11 网 络 运行 安全 上 


RR1.2- 终端 运行 安全 


基于 来 源 分 析 风 险 


BR1.3- 终端 外 设 安全 风险 上 HG) 


| 外 部 KOH RR1.3- 网 络 边界 风险 上 GD) 


IR1.1- 信息 扩散 风险 


图 6-7 基于 来 源 划 分 一 一 终端 安全 风险 图 详 


2. 基于 风险 属性 的 分 类 

按照 风险 的 属性 ， 可 把 安全 风险 分 为 基础 安全 风险 、 运 行 安 全 风险 和 信息 安全 风险 三 大 
类 。 其 中 终端 安全 技术 平台 目 身 的 风险 ， 暂 不 列 在 内 。 

1) 基础 安全 风险 〈Basic Risk， 人 简写 为 BR) 指 终端 作为 信息 安全 资产 自身 所 存在 的 风 
险 ， 与 其 是 否 运 行 、 人 、 制 度 、 流 程 等 无 关 。 

首先 是 终端 自身 存在 风险 ， 包 括 BIOS 等 便 件 配置 隐 含 的 风险 ， 也 包含 软件 配置 的 风 
险 ， 例 如 操作 系统 本 和 喘 存在 的 漏洞 和 用 户口 令 安 全 ， 杀 毒 软 件 和 应 用 软件 的 安装 使 用 风险 ， 
终端 对 于 补丁 和 软件 管理 的 风险 ; 其 次 ， 是 网 络 相关 参数 配置 和 网 络 防 护 措施 的 管理 风险 ; 
另外 还 包括 终端 所 带 的 外 设 、 端 口 、 注 册 表 、 驱 动 、 操 作 系统 驱动 等 相关 的 风险 。 

终端 安全 基础 风险 管理 《防护 ) 系统 的 所 有 安全 基础 管理 功能 类 可 以 划分 为 自身 安全 风 
险 、 环 境 安全 风险 、 外 设 安全 风险 ， 如 图 6-8 所 示 。 

终端 安全 基础 风险 管理 是 针对 终端 计算 机 的 基础 情况 进行 管理 ， 此 类 管理 不 涉及 各 类 
体 安 全 风险 事件 ， 强 调 终端 安全 基础 的 安全 性 ， 侧 重 于 上 自身 安全 的 加 回 和 风险 的 预防 ， 是 
端 安全 技术 文 撑 平 台 的 基础 管理 类 。 

2) 终端 安全 运行 风险 (Running Risk， 人 简写 为 RR) 指 终端 在 运行 过 程 产生 的 风险 ， 包 
括 操作 系统 运行 过 程 相关 的 网 络 设备 运行 、 流 量 、 进 程 /服务 等 。 与 基础 安全 风险 相 比 ， 终 
羔 安 全 运行 风险 更 具 动 态 性 ， 随 着 时 间 和 相关 环境 条 件 的 变化 。 主 要 包括 终端 进行 网 络 访问 
操作 过 程 中 所 面临 的 风险 、 终 端 自身 运行 使 用 中 软 硬 件 的 安全 风险 、 终 端 作为 网 络 中 独立 运 
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行 的 资产 ， 在 网 络 边界 范围 内 所 面临 的 风险 ， 如 图 6-9 所 示 ， 


BR1.1.1- 密码 口令 风险 
BR1.1.2-BIOSS 弱 密 码 风 险 


BR1.1.3- 杀毒 软件 检查 风险 
BR1.1- 终端 自身 安全 风险 


BR1.1.4- 终端 应 用 软件 检查 风险 


BR1.1.5- 终端 系统 补丁 风险 


BR1.2.1- 终端 网 络 运行 环境 风险 


BR1.1.6- 终端 软件 自动 分 发 风险 
BR- 基础 安全 风险 BR1.2- 终端 环境 安全 风险 


BR1.2.2- 终端 防火 墙 风 险 


BR1.3.1- 外 设 端口 管理 


BR1.3.2- 外 设 设 备 管理 


BR1.3- 终端 外 设 安全 风险 BR1.3.3- 终端 注册 表 风 险 


BR1.3.4- 终端 系统 驱动 风险 


图 6-8 基于 属性 划分 一 一 终端 基础 安全 风险 图 谱 


BR1.3.5- 基本 配置 风险 


RR1.1.1- 网 络 设备 运行 风险 


RR1.1.2- 终端 流量 异常 风险 


RR1.1- 网 络 运行 安全 


RR1.1.3- 终端 违规 网 络 访问 风险 


RR1.1.4-IP/MAC 地 址 自 改 风险 


RR1.2.1- 进程 /服务 运行 的 风险 


RR1.2.2- 常规 软件 安装 风险 


RR- 终端 安全 运行 风险 RR1.2- 终端 运行 安全 RR1.2.3- 异常 资源 占用 风险 
】 风 


RR1.2.4- 操作 系统 用 户 管理 风险 


RR1.2.5- 终端 节能 风险 


RR1.3.1- 违规 内 联 
RR1.3- 网 络 边界 风险 RR1.3.2- 违规 外 联 


图 6-9 基于 属性 划分 一 一 终端 安全 运行 风险 图 谱 


终端 安全 运行 风险 管理 主要 就 终端 在 运行 期 间 的 风险 进行 管理 ， 这 部 分 内 容 通 向 是 终 ; 


安全 管理 拉 术 支撑 平台 管理 的 重点 内 容 。 
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3) 信息 安全 风险 (Information Risk， 简 称 为 及) 指 终端 信息 安全 风险 为 终端 中 存储 
言 息 ， 以 及 信息 在 传递 过 程 中 所 面临 的 风险 。 该 类 风险 包括 传输 过 程 风 险 、 信 息 共享 风险 、 
介质 存储 风险 以 及 加 密使 用 风险 ， 见 图 6-10。 


IR1.1.1- 信息 传输 的 风险 


IR1.1.2- 移动 存储 介质 违规 使 用 的 风险 


IR1.1.3- 信息 文档 保护 
IR- 信息 安全 风险 IR1.1- 信息 扩散 风险 
IR1.1.4- 信息 共享 


IR1.1.5- 信息 的 非 技术 泄露 


IR1.1.6- 人 为 灾害 


图 6-10 ”基于 属性 划分 一 一 终端 信息 安全 风险 图 谱 
3. 基于 风险 管控 方式 的 分 类 


终端 安全 风险 的 管控 方式 可 分 为 基于 技术 平台 全 过 程 处 理 〈 即 全 目 动 )、 基 于 技术 平台 


人 工 协助 处 理 〈 包 括 半 上 自动 、 六 和信 工 ) 和 全 和信 工 处 理 3 类。 
基于 这 些 种 方式 可 绘 出 以 下 终端 安全 风险 图 谱 ， 见 图 6-11。 


基于 技术 平台 人 工 协助 处 理 全 过 程 处 理 
风险 分 类 


基础 安全 风险 (BR) 


EE 7 
信息 安全 风险 《IR) 一 


终端 安全 运行 风险 (RR) 


总 计 


图 6-11 基于 管控 方式 一 一 终端 安全 风险 图 谱 


的 


人 
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7 构建 方法 


终端 安全 风险 是 随 着 时 间 、 环 境 、 使 用 人 、 防 范 控制 措施 的 变动 而 动态 变化 的 。 因 此 ， 
不 能 把 终端 安全 管理 工作 当 作 一 个 项 目 去 看 待 。 如 果 把 终端 安全 管理 工作 仅仅 当做 一 个 项 目 
来 看 符 ， 就 不 可 避免 地 会 出 现 一 些 问 题 。 

首先 ， 任 何 项 目 都 有 一 个 起 始 和 结束 日 期 ， 项 目 结束 后 ， 人 员 就 会 被 分 配 到 其 他 项 目 中 
去 ， 出 现 类 似 “ 拆 东 墙 补 西 增 ” 的 现象 。 其 次 ， 在 开始 终端 安全 管理 计划 时 ， 确 定 了 明确 的 
目标 ， 但 是 没有 确立 正确 的 结构 和 方法 ， 不 能 确保 终端 安全 管理 成 为 一 个 持续 不 断 的 改进 过 
程 ， 导 致 后 续 工作 中 整个 安全 计划 反复 开始 和 结束 ， 造 成 大 量 的 重复 工作 ， 致 使 安全 计划 的 
成 本 增加 ， 效 率 降 低 。 

因此 ， 最 好 的 办 法 是 对 终端 安全 管理 工作 采用 一 种 生命 周期 式 的 方法 。 

对 于 许多 组 织 而 言 ， 在 制定 、 实 施 和 维护 他 们 的 安全 管理 计划 时 ， 都 没有 采用 生命 周期 
式 的 方法 。 有 可 能 是 因为 他 们 并 不 知道 如 何 使 用 这 种 方法 ， 或 者 觉得 这 种 方法 过 于 肝 烦 ， 会 
浪费 时 间 。 不 遵循 生命 周期 方法 ， 往 往 会 出 现 以 下 问题 。 

v 书面 的 制度 和 管理 要 求 无 法 与 实际 的 终端 安全 管理 活动 相对 应 ， 或 得 不 到 安全 管理 


活动 的 文 持 

Y 组 织 内 担负 资产 管理 和 保护 工作 的 人 员 容 易 出 现职 贡 不 清 、 任 务 不 明 而 导致 工作 
混乱 

v 无 法 对 终端 安全 管理 工作 进展 情况 进行 评估 ， 无 法 计算 投资 回报 率 

无 法 了 解 现行 安全 管理 策略 的 缺陷 ， 也 不 能 用 一 种 标准 的 方法 来 改善 这 些 缺 陷 

无 法 保证 合 规 性 《符合 国家 、 行 业 相 关 标 准 、 规 范 要 求 ) 

v 完全 依赖 技术 手段 来 解决 所 有 的 安全 问题 

v 拼凑 独立 的 解决 方案， 没有 整体 的 解雇 方案 

w 对 存在 的 安全 风险 采用 一 种 “火警 ” 式 的 方法 ， 而 不 是 一 种 平静 、 主 动 而 探测 性 的 


方法 
v 错误 的 安全 意识 ， 产 生 混 乱 的 潜在 倾向 


7.2 ”构建 过 程 
在 具体 工作 中 ， 要 不 断 评 估 和 改进 终端 安全 管理 工作 。 终 端 安全 管理 工作 是 一 个 永 不 终 


目的 生命 周期 ， 了 解 这 一 点 非常 重要 。 任 何 流程 的 生命 周期 都 可 以 通过 不 同 的 方式 进行 描 
述 。 我 们 将 使 用 以 下 步骤 : 
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1. 计划 和 组 织 (Plan and Oragnize ) 
2. 实施 (Implement) 

3. 运作 和 维护 (Operate and Maintain ) 
4. 监控 和 评估 〈Monitor and Evaluate) 


各 个 步骤 要 做 的 工作 参见 表 7-1。 


表 7-1 各 个 步骤 要 做 的 工作 


步 又 工作 内 容 
确定 管理 承诺 
成 立 监督 指导 委员 会 
评估 业务 推动 力 


sr 了 解 组 织 威胁 概况 ， 构 建 威胁 场景 


进行 风险 分 析 ， 构 建 风险 体系 
在 

确定 风险 管理 体系 的 解决 方案 
获得 管理 层 的 批准 ， 以 继续 向 前 


分 配 管理 任务 和 责任 
制定 和 实施 安全 策略 
确定 静态 和 动态 敏感 数据 


晶 织 、 应 用 软件 、 网 络 和 组 件 层 开发 安全 体系 结构 ， 构 建 风 险 管 理 体系 


实施 以 下 终端 安全 管理 工作 任务 的 解决 方案 〈 管 型 


的 、 技 术 的 、 物 理 的 ) 


1) 资产 确定 和 管理 
2) 风险 管理 
3) 隐患 管理 
4) 法 规 遵 从 〔( 合 规 性 ) 
实施 5) 身份 管理 和 访问 控制 
6) 变更 控制 
7) 软件 开发 生命 周期 
8) 业务 连贯 性 规划 
9) 意识 和 培训 
10) 物理 安全 
11) 事件 响应 


开发 每 个 终端 安全 管理 工作 任务 的 审计 和 监控 解决 方案 


确定 每 个 终端 安全 管理 工作 任务 的 目标 、 标 准 


遵循 规程 ， 确 保安 全 管理 要 求 在 所 实施 的 解决 方案 中 得 到 满足 


运作 和 维护 执行 内 部 和 外 部 审计 
执行 终端 安全 管理 所 列 出 的 任务 


核查 终端 安全 管理 技术 支撑 平台 日 志 
审计 终端 安全 管理 工作 结果 
监控 和 评 们 评估 每 个 终端 安全 管理 工作 目标 完成 情况 
定期 与 安全 管理 委员 会 举行 会 议 


总 之 ， 终 端 安全 风险 管理 工作 是 个 逐步 改进 完善 
的 过 程 ， 基 于 PIOM (Plan and Oragnize-Implement- 
Operate and Maintain-Monitor and Evaluate ， 人 简 称 
PIOM) 过 程 模式 构建 和 实施 终端 安全 风险 管理 体系 ， 
是 保证 终端 安全 风险 管理 体系 持续 改进 的 有 效 方法 。 

PIOM 四 个 步骤 成 为 一 个 财 环 ， 通 过 这 个 环 的 不 断 
运转 ， 使 终端 安全 管理 体系 得 到 持续 改进 ， 使 信息 安 
全 绩效 (Performance ) 螺旋 上 升 ， 如 图 7-1。 


确定 改进 步 又， 并 将 其 整合 到 “计划 和 组 织 ” 阶 段 


实施 


计划 和 
{ | 组 织 
运作 和 
维护 
监控 和 评估 


图 7-1 PIOM 过 程 模式 图 
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采用 有 效 的 技术 支撑 手段 是 构建 终端 安全 管理 体系 的 关键 之 一 。 基 于 终端 安全 防护 体系 
与 终端 安全 管理 体系 两 个 大 部 分 的 技术 支撑 ， 从 技术 和 管理 角度 对 终端 安全 风险 进行 管理 、 
防护 和 控制 ， 降 低 风险 的 发 生 。 终 端 安全 防护 的 重点 在 于 及 时 有 效 地 识别 终端 安全 风险 ， 快 
速 实施 安全 应 对 措施 ， 终 端 安全 管理 重点 在 于 风险 的 综合 分 析 和 控制 ， 对 于 需 复杂 分 析 方 法 
和 控制 手段 的 风险 依据 其 发 展 的 不 同 阶段 ， 按 照 事前 、 事 中 、 事 后 运用 相应 的 应 对 措施 ， 以 
规避 、 减 少 或 控制 风险 ， 实 现 对 于 终端 安全 风险 的 全 过 程 管理 。 基 于 终端 安全 风险 运作 管理 
过 程 中 终端 的 各 类 情况 进行 监测 和 风险 分 析 ， 根 据 监 测 和 分 析 的 结果 不 断 改进 和 完善 风险 监 
控 和 防护 的 策略 ， 持 续 提升 终端 安全 风险 管理 各 个 部 分 的 能 力 ， 逐 步 使 所 有 终端 风险 都 处 于 
可 承受 的 范围 之 内 。 


7.3 构建 体系 


终端 安全 管理 体系 由 终端 安全 组 织 体系 、 安 全 策略 管理 、 安 全 运 维 管理 和 安全 技术 管理 
4 个 部 分 构成 。 

(1) 终端 安全 组 织 

终端 安全 组 织 管理 体系 主要 包括 安全 组 织 和 管理 制度 建设 、 安 全 管理 人 员 的 培训 教育 
等 。 本 文中 主要 阐述 终端 安全 管理 中 的 组 织 构成 、 人 员 角 色 和 职责 划分 ， 有 具体 参见 7.4 节 
“构建 组 织 ” 

(2) 终端 安全 策略 

安全 策略 体系 主要 通过 建立 完整 的 信息 安全 策略 体系 ， 提 高 员工 的 安全 意识 和 技术 水 
平 ， 完 善 各 种 安全 策略 和 安全 机 制 ; 利用 多 种 安全 技术 措施 和 信息 安全 管理 实现 对 网 络 的 多 
层 保护 ， 防 范 终端 信息 安全 事件 的 发 生 ， 减 少 终端 非法 、 违 规 使 用 的 问题 ， 防 止 终端 信息 的 
扩散 。 

(3) 终端 安全 运作 

终端 安全 运作 管理 是 整个 系统 安全 体系 的 驱动 和 执行 环节 。 建 立 有 效 的 信息 安全 保障 体 
系 需 要 在 终端 安全 策略 的 指导 下 ， 依 托 终 端 安全 防护 和 管理 技术 ， 强 化 安全 组 织 管理 ， 全 面 
实现 系统 安全 运作 与 保障 。 

1) 安全 运作 管理 是 整个 信息 安全 工作 的 日 常 体现 和 执行 环节 。 应 该 在 信息 安全 策略 的 
指导 下 ， 制 定 并 遵照 安全 维护 的 操作 流程 ， 实 施 信 息 安 全 运作 。 

2) 应 进行 安全 风险 管理 ， 以 可 以 接受 的 成 本 或 最 小 成 本 ， 确 认 、 控 制 、 排 除 可 能 影响 
言 恩 系 统 的 安全 风险 ， 并 将 其 融 来 的 危害 最 小 化 。 

3) 定期 进行 安全 风险 评估 ， 通 过 对 安全 管理 策略 、 信 息 系统 结构 、 网 络 、 系 统 、 数 据 
库 、 业 务 应 用 等 方面 进行 安全 风险 评估 ， 确 定 所 存在 的 安全 隐患 和 安全 风险 ， 了 解 安全 现状 
以 及 如 何 解 决 这 些 问 题 的 方法 。 

4) 对 于 信息 系统 中 重要 业务 系统 、 服 务 器 和 网 络 设备 ， 制 定安 全 配置 标准 和 规定 来 规 
范 安 全 配置 管理 工作 ， 建 立 配置 更 改 管理 制度 ， 并 进行 定期 的 审计 和 检 碍 。 

5) 对 于 外 包 开 发 的 业务 系统 软件 ， 应 制定 业务 软件 安全 标准 来 进行 规范 ， 要 求 有 完善 
的 鉴别 和 认证 、 访 问 控 制 、 日 志 审计 功能 和 数据 验证 功能 ， 杜 绝 木 马 和 后 门 ， 建 立 源 代码 控 
制 和 软件 版 本 控制 机 制 |。 
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6) 建立 第 三 方 安全 管理 的 规范 和 制度 ， 并 要 求 其 严格 齐 守 。 严 格 控制 第 三 方 对 信息 系 
统 的 访问 ， 并 在 合同 中 规定 其 安全 责任 和 安全 控制 要 求 ， 以 维护 第 三 方 访 问 的 安全 性 。 

7) 对 于 意外 、 灾 难 和 入 侵 的 处 理 ， 建 立 包含 事件 鉴别 、 事 件 恢复 、 犯 罪 取 证 、 攻 击 者 
退 踪 的 安全 事件 的 紧急 啊 应 体系 和 机 制 ， 制 定 并 遵照 正确 的 安全 事件 处 理 流 程 ， 尽 量 减 少 安 
全 事故 和 故障 造成 的 损失 ， 监 督 此 类 事件 并 从 中 吸取 教训 。 

8) 制定 并 实施 安全 培训 和 教育 计划 ， 进 行 安 全 意识 、 技 能 和 安全 制度 培训 。 

9) 对 于 员工 违反 安全 策略 和 安全 流程 ， 制 定 相 应 的 纪律 处 分 规定 进行 处 昼 。 

10) 进行 物理 安全 和 环境 安全 的 管理 ， 建 立 机 房管 理 制 度 。 

(4) 终端 安全 技术 

终端 安全 技术 框架 主要 由 终端 安全 防护 平台 和 安全 管理 平台 构成 。 其 中 ， 终 端 安 全 省 理 
平台 完成 管理 层面 的 职能 ， 终 端 安全 防护 平台 完成 技术 层面 的 职能 。 终 问安 全 平台 有 效 地 将 
安全 组 织 管理 、 策 略 管理 、 运 作 管 理 和 安全 技术 框架 结合 在 一 起 ， 协 调 一 致 工作 ， 完 成 终端 
安全 管理 任务 。 

基体 参见 图 7-2。 


终 簿 安全 组 组 竺 理 | | 终 病 安全 有 条 赂 旬 理 终端 安全 运作 管理 


应 用 层 


EE 


图 7-2 终端 安全 管理 体系 架构 示意 图 


终端 安全 防护 平台 是 整个 安全 体系 的 核心 基础 组 件 ， 负 责 终端 信息 的 采集 和 维护 、 终 端 
安全 风险 的 管理 和 防护 、 终 端 安全 事件 的 监测 和 控制 ， 为 管理 平台 提供 所 需要 的 各 类 数据 的 
采集 和 传输 。 安 全 管理 平台 是 整个 安全 体系 的 核心 和 枢纽 ， 作 为 拷 术 支撑 平台 ， 它 同上 为 安 
全 策略 管理 、 安 全 组 织 管理 、 安 全 运作 管理 提供 基于 安全 省 理 平台 的 自动 化 支持 协助 ， 向 下 
贯彻 整个 技术 层面 ， 指 导 安 全 防护 平台 有 效 监 控 终 端 系统 ， 并 基于 防护 系统 监控 收集 的 信 
让， 进行 统一 的 自动 化 风险 评估 ， 评 价 这 些 系统 是 否 符 合 安 全 管理 的 策略 和 基线 ， 并 报告 给 
决策 者 ， 提 供 及 时 的 啊 应 。 终 问安 全 管理 平台 和 终端 安全 防护 平台 无 颖 协作 ， 保 证 了 终端 系 
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统 符合 终端 安全 管理 的 策略 要 求 ， 符 合 安全 管理 运作 流程 ， 将 安全 风险 降 到 最 低 。 
7.4 构建 组 织 


通过 组 建 完 整 的 信息 网 络 安全 组 织 机 构 ， 设 置 安全 管理 人 员 ， 规 划 安 全 策略 确定 安全 组 
织 机 制 ， 明 确 安 全 组 织 原 则 和 完善 安全 组 织 措 施 ， 制 定 严 格 的 安全 组 织 制 度 ， 合 理 地 协调 法 
律 、 技 术 和 组 织 3 种 因素 ， 实 现 对 系统 安全 组 织 的 科学 化 、 系 统 化 、 法 制 化 和 规范 化 ， 达 到 
保障 整体 安全 的 目的 。 


7.4.1 组 织 结 构 


组 织 结构 按照 统一 领导 和 分 级 组 织 的 原则 ， 安 全 组 织 必 须 设 立 专门 的 组 织 机 构 ， 配 备 相 
应 的 安全 组 织 人 员 ， 并 实行 “一 把 手 ” 责 任 制 ， 明 确 主管 领导 ， 落 实 部 门 责 任 ， 各 尽 其 职 。 
其 主要 内 容 包括 各 级 组 织 机 构 的 建立 ; 各 级 组 织 机 构 的 职能 、 权 限 划分 ， 人 员 岗 位 、 数 量 、 
职 贡 的 确定 。 

言 恩 安全 管理 组 织 架 构 是 实施 终端 系统 安全 ， 进 行 终端 安全 管理 的 必要 保证 。 图 7-3 是 
对 应 终端 安全 管理 体系 的 组 织 架 构图 。 


保密 委员 会 


图 7-3 ”对 应 终端 安全 管理 体系 的 组 织 架 构图 


(1) 信息 安全 领导 小 组 

言 息 安全 是 组 织 /企业 工作 人 员 必 须 共 用 承担 的 责任 ， 因 此 ， 应 建立 信息 安全 领导 小 
组 ,信息 安全 领导 小 组 是 单位 网 络 与 信息 安全 工作 的 最 高 领导 决策 机 构 ， 它 不 隶属 于 任何 部 
门 ， 直 接 对 本 单位 最 高 领导 负责 ， 信 息 安 全 领导 小 组 是 一 个 常设 机 构 ， 负 责 本 单位 信息 安全 
工作 的 宏观 管理 。 其 主要 职能 如 下 。 

v 负责 领导 落实 系统 安全 建设 的 总 体 规划 

v 制定 规划 并 监督 安全 工作 规划 的 制定 与 实施 

v 负责 组 织 制定 信息 系统 安全 打上 略 并 审批 下 级 单位 上 报 的 信息 系统 安全 打上 略 调整 建议 

w 负责 组 织 细 化 规章 制度 ， 制 定 相应 程序 指南 ， 并 监督 落实 规章 制度 

v 负责 审阅 信息 安全 工作 报告 


(2) 信息 安全 管理 办 公 室 
信息 安全 管理 办 公 室 应 该 由 本 机 构 信 息 安 全 相关 的 若干 管理 部 门 共同 完成 ， 例 如 信息 技 
术 部 门 、 业 务 应 用 部 门 、 安 全 保卫 部 门 、 人 事 行政 部 门 等 。 
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v 信息 技术 部 门 对 信息 系统 及 信息 系统 安全 保障 提供 技术 决策 和 技术 支持 ， 在 技术 上 
对 信息 系统 和 信息 系统 安全 保障 承担 管理 责任 
v 业务 应 用 部 门 对 信息 系统 的 业务 处 理 以 及 业务 流程 的 安全 承担 管理 责任 
v 安全 保卫 部 门 对 信息 系统 的 场地 以 及 系统 资产 的 防 灾 、 防 盗 、 防 破坏 等 承担 管理 责任 
w 行政 部 门 从 行政 上 对 信息 安全 保障 执行 管理 工作 


竺 个 部 门 应 写 信 息 技术 部 门 协 作 ， 共 同 对 信息 系统 的 建设 和 运行 维护 承担 管理 里 责任 。 
为 明确 安全 职责 ， 应 在 相关 管理 部 门 中 指定 对 信息 安全 负责 的 主管 ， 这 些 主管 共同 贯 稳 
执行 系统 安全 工作 的 方针 政策 、 规 章 制度 及 有 关 的 技术 标准 、 规 范 和 方案 ， 并 监督 安全 策略 


的 落实 。 

(3) 信息 安全 保密 委员 会 

重要 系统 和 文件 的 保密 是 一 项 重要 的 信息 安全 工作 ， 
息 安 全 保密 委 ， 负 责 重 要 文件 密码 信息 的 管理 。 该 委员 会 至 少 由 负责 领导 和 密 钥 管 理 员 组 成 。 


7.4.2 人员 角色 


对 于 信息 系统 建设 和 运行 维护 的 具体 执行 ， 应 该 有 相应 的 安全 管理 岗位 ， 但 考虑 到 具体 
情况 有 所 差别 ， 在 本 方案 中 定义 了 相应 的 安全 角色 和 职员 ， 对 具体 的 安全 岗位 不 做 定义 ， 各 
具体 机 构 根 据 实际 情况 设置 相应 安全 岗位 ， 具 体 的 安全 角色 和 职员 的 描述 如 下 。 

终端 相关 人 员 分 为 使 用 人 员 和 管理 人 员 ， 其 中 ， 使 用 人 员 又 分 为 内 部 人 员 和 外 部 人 员 ， 
ey ev 

终端 管理 人 员 包 括 终端 使 用 者 、 主 机 系统 管理 员 、 资 产 管 理 员 、 认 证 管理 员 、 安 全 管 
员 、 安 全 审计 员 、 安 全 保密 管理 员 、 安 全 主管 。 各 种 角色 在 终端 安全 风险 管 0 
见 表 人 2。 


角 色 责 任 
终端 使 用 者 按照 终端 安全 体系 的 相关 制度 操作 终端 
资产 管理 员 管理 终端 资产 ， 维 护 资产 的 属性 和 状态 ， 维 护 资产 与 责任 人 的 关系 
认证 管理 员 管理 终端 安全 平台 认证 账号 和 账号 安全 策略 ， 并 且 对 于 认证 行为 进行 审计 


负责 主机 操作 系统 的 安全 配置 (包括 及 时 修补 系统 漏洞 和 日 常 审计， 系统 应 用 软件 的 安装 ， 从 系 
统 层面 实现 对 用 户 与 资源 的 访问 控 人 


协助 安全 管理 员 制 定 主 机 操作 系统 的 安全 配置 规则 ， 并 落实 执行 

负责 主机 设备 的 日 常 管理 与 维护 ， 保 持 系统 处 于 良好 的 运行 状态 

为 安全 审计 员 提供 完整 、 准 确 的 主机 系统 运行 活动 的 日 志 记 录 

在 主机 系统 异常 或 故障 发 生 时 ， 详 细 记 载 发 生 异 常 时 的 现象 、 时 间 和 处 理 方式 ， 并 及 时 上 报 
编制 主机 设备 的 维修 、 报 损 、 报 废 计划 ， 报 主管 领导 审核 

J 组 织 制定 和 批准 的 终端 安全 风险 管理 策略 

织 审 议 相 关 各 种 安全 方案 、 安 全 审计 报告 、 应 急 计划 以 及 整体 安全 管理 制度 


责 对 终端 安全 产品 购置 提供 建议 ， 负 责 组 织 制定 各 种 终端 安全 产品 策略 与 配置 规则 ， 负 责 跟 踪 终 
产品 投产 后 的 使 用 情况 
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( 续 ) 
角 色 责任 
负责 指导 并 监督 系统 管理 员 及 普通 用 户 与 安全 相关 的 工作 
负责 组 织 终端 系统 的 安全 风险 评估 工作 ， 并 定期 进行 系统 漏洞 扫描 ， 形 成 安全 评估 报告 
安全 管理 员 根据 本 机 构 的 信息 安全 需求 ， 定 期 提出 本 机 构 的 信息 安全 改进 意见 ， 并 上 报信 息 安 全 管理 部 门 主管 
定期 查看 信息 安全 站 点 的 安全 公告 ， 跟 踪 和 研究 各 种 终端 相关 信息 安全 漏洞 和 攻击 手段 ， 在 发 现 
可 能 影响 信息 安全 的 安全 漏洞 和 攻击 手段 时 ， 及 时 做 出 相应 的 对 策 ， 通 知 并 指导 系统 管理 员 进 行 安 
全 防范 
负责 定期 对 主机 系统 、 网 络 产 品 、 应 用 系统 的 日 志文 件 进行 分 析 审 计 ， 发 现 问题 及 时 上 报 
安全 审计 员 负责 对 信息 安全 保障 管理 活动 进行 独立 的 监督 ， 提 供 内 部 独立 的 审计 和 评估 工作 ， 并 根据 需要 可 
以 协同 外 部 审计 评估 机 构 进 行 评估 和 认证 ， 为 决策 领导 提供 信息 系统 和 信息 安全 保障 执行 状况 的 客 
观 评 价 
rp 对 保密 终端 按 体系 要 求 的 保密 规定 进行 保密 工作 的 开展 ， 包 括 对 交易 、 传 输 、 认 证 密 钥 的 管理 以 及 
安全 保密 管理 员 2 
加 密 机 的 操作 
提出 、 制 定 并 批准 所 管理 范围 的 终端 安全 风险 管理 策略 
领导 和 组 织 所 辖 范 围 〈 部 门 ) 内 的 终端 安全 风险 管理 工作 
基于 所 辖 范围 中 部 署 的 终端 安全 防护 和 安全 管理 技术 平台 对 终端 安全 风险 的 管理 结果 信息 ， 判 断 终 
安全 主管 端 系统 是 否 出 现 次 生 风 险 ， 是 否 存在 残余 风险 ， 次 生 和 残余 风险 是 否 可 接受 ， 并 判断 终端 系统 是 否 在 
合法 合 规 状 态 下 运行 
检查 终端 安全 管理 系统 中 生成 的 终端 安全 状态 报告 
定期 或 不 定期 地 基于 终端 安全 管理 平台 实现 对 于 终端 风险 的 评估 
在 多 级 组 织 中 终端 安全 管理 人 员 通 常 又 可 分 为 3 级 : 全 局 安全 管理 人 员 、 本 地 安全 管理 
人 员 、 组 安全 管理 人 员 。 
只 责 参见 表 7-3。 
表 7-3 多 级 组 织 中 三 级 终端 安全 管理 人 员 分 类 表 
管理 员 类 别 职 责 
区 域 安全 管 负责 整个 区 域 终端 安全 管理 体系 的 安全 管理 ; 
ee 能 查看 全 部 的 终端 的 安全 事件 ， 并 及 时 对 下 级 反馈 的 安全 问题 提出 整改 的 
A 建议 
本 地 安全 管 负责 本 地 的 安全 管理 体系 的 安全 管理 ; 
曾 人 员 本 地 终端 有 问题 及 时 跟 上 级 汇报 并 需求 解决 方案 ; 
A 对 安全 问题 及 时 记录 以 便于 后 续 问 题 跟踪 和 定位 
组 安 全 管理 负责 本 组 的 安全 体系 管理 ， 及 时 向 本 地 系统 管理 员 汇 报 组 内 的 安全 问题 ; 
”人员 本 组 终端 只 能 对 组 内 的 终端 进行 安全 管理 操作 ， 
对 安全 问题 及 时 记录 以 便 后 续 问 题 跟踪 和 定位 
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8.1 ”基于 资产 全 生命 周期 的 常理 


终端 资产 管理 中 ， 资 产 管理 包括 从 资产 申请 、 购 置 、 验 收 、 调 拨 、 领 用 、 使 用 、 维 修 、 
盘点 、 清 理 和 废弃 整个 生命 周期 的 各 个 阶段 ， 即 该 管理 过 程 涉及 资产 的 全 生命 周期 各 个 阶 
段 ， 称 为 资产 全 生命 周期 。 

资产 全 生命 周期 包括 可 分 配 、 已 调拨 、 已 领 用 、 被 借用 、 正 常 使 用 、 维 修 中 、 待 报废 和 
己 报 废 8 个 不 同 状态 。 就 终端 资产 的 使 用 而 言 ， 可 将 资产 的 全 生命 周期 划分 为 入 网 阶段 、 运 
行 阶段 和 废弃 阶段 三 大 阶段 ， 鉴 于 资产 维护 工作 的 特殊 性 ， 将 运行 阶段 中 涉及 变更 和 维修 的 
工作 抽 离 出 来 构成 维护 阶段 。 为 了 与 传统 的 资产 全 生命 周期 的 概念 相 区 别 ， 本 书 将 入 网 、 运 
行 、 维 护 和 废弃 4 个 阶段 称 为 终端 资产 使 用 生命 周期 。 终 端 资产 全 生命 周期 与 终端 资产 使 用 
生命 周期 对 应 关系 参见 图 8-1。 
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图 8-1 终端 资产 全 生命 周期 与 终端 资产 使 用 生命 周期 对 应 图 


(1) 入 网 阶段 

入 网 阶段 指 终端 设备 从 申请 到 入 网 期 间 的 所 有 过 程 。 其 重点 工作 在 于 做 好 终端 资产 使 用 
的 准备 ， 对 于 资产 的 定位 在 入 网 前 确定 下 来 ， 避 免 信息 级 别 错 位 ， 导 致 信息 安全 存在 隐患 。 

该 阶段 输入 的 是 采购 、 验 收入 库 的 终端 设备 ， 对 于 采购 信息 的 要 求 进行 记录 ， 核 对 验收 
入 库 时 终端 设备 的 相关 信息 ， 尤 其 是 对 终端 设备 的 厂商 进行 标注 ， 区 分 厂商 的 性 质 〈 国 产 、 
外 资 、 合 资 等 )。 该 阶段 输出 的 应 该 是 符合 组 织 终端 入 网 法 规 的 终端 资产 ， 并 且 建 立 资产 的 
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唯一 性 标识 ， 全 程 建立 资产 在 生命 周期 中 的 识别 性 保障 。 

(2) 运行 阶段 

从 使 用 周期 上 看 ， 终 端 登记 入 网 后 到 终端 最 终 退 库 或 废弃 期 间 ， 终 端 资产 都 处 于 运行 阶 
段 。 鉴 于 终端 资产 在 使 用 过 程 中 存在 的 硬件 配件 变更 、 资 产 自身 更 换 使 用 人 、 资 产 所 属 部 门 
单位 变更 、 资 产 在 行业 内 上 下 级 调动 、 资 产 在 不 同 网 络 之 间 的 转换 使 用 、 资 产 因 故 障 进行 维 
修 等 多 种 情况 ， 将 终端 入 网 后 到 废弃 之 间 正 常 运行 的 过 程 称 为 运行 阶段 ， 将 在 期 间 软 硬件 变 
化 、 换 人 使 用 、 转 网 使 用 、 故 障 维修 等 工作 过 程 统称 为 维护 阶段 。 因 维护 阶段 的 存在 ， 运 行 
阶段 可 能 是 断 续 的 时 间 段 。 运 行 阶段 的 重点 工作 是 保证 终端 合法 合 规 运行 ， 并 且 对 应 资产 的 
唯一 性 标识 和 人 员 的 责任 与 使 用 建立 直接 关联 ， 保 障 资产 在 该 阶段 中 所 有 的 风险 都 关联 到 具 
体 的 责任 人 和 使 用 者 ， 对 于 网 络 资源 以 及 信息 安全 的 的 实际 操作 者 进行 全 程 的 记录 ， 杜 绝 次 
产 管理 、 使 用 和 操作 的 “盲区 ”。 

该 阶段 的 输入 应 是 符合 组 织 终端 入 网 法 规 的 终端 资产 。 包 括 新 申购 的 入 网 终端 资产 、 软 
硬件 变更 后 的 终端 资产 、 换 人 或 转 网 使 用 的 终端 资产 、 维 修 后 重新 入 网 的 终端 资产 等 。 该 阶 
段 的 出 口 包括 维护 和 废弃 两 个 阶段 ， 针 对 不 同 阶段 的 输出 不 同 。 

(3) 维护 阶段 

维护 阶段 是 运行 阶段 中 的 特殊 阶段 。 从 时 间 上 看 ， 该 阶段 处 于 运行 阶段 之 中 ， 维 护 阶 自 
可 能 是 断 续 的 时 间 阶段 。 维 护 阶段 的 主要 工作 是 对 终端 正常 运行 外 出 现 的 变更 、 维 修 等 情况 
进行 处 理 ， 以 保证 终端 资产 在 出 现 软 硬 件 、 人 员 和 使 用 环境 变更 或 出 现 故障 时 进行 有 效 的 管 
理 ， 保 证 终端 资产 再 次 合法 合 规 的 使 用 ， 重 点 在 于 维持 终端 在 生命 周期 过 程 中 的 唯一 性 ， 和 中 
免 因 为 维修 操作 的 流程 导致 终端 消失 在 管理 和 监控 的 范围 内 ， 出 现 信息 安全 级 别 混乱 ， 资 产 
流失 等 问题 。 

该 阶段 的 输入 为 待 维护 资产 及 其 变更 或 故障 信息 ， 输 出 为 符合 组 织 入 网 要 求 的 变更 或 维 
修 后 的 终端 资产 、 资 产 管理 信息 更 新 。 

(4) 废弃 阶段 

当 资 产 无 法 正常 使 用 时 ， 进 入 报废 阶段 。 该 阶段 的 主要 工作 是 按照 组 织 规 定 的 流程 和 方 
法 完成 资产 废弃 前 一 系列 的 工作 ， 包 括 做 相关 登记 、 信 息 处 理 等 。 该 阶段 工作 的 关键 点 是 要 
准确 识别 并 处 理 和 废弃 资产 相关 的 组 织 其 他 资产 ， 不 能 造成 对 废弃 资产 外 组 织 其 他 资产 损失 
或 损坏 ， 如 必须 将 废弃 终端 设备 中 存储 的 工作 信息 进行 处 理 即 完成 废弃 工作 ， 同 时 对 资产 的 
唯一 性 标识 进行 完结 处 理 。 

该 阶段 输入 是 待 废弃 资产 (及 相关 资产 )， 输 出 为 废弃 资产 、 资 产 管理 信息 变更 、 与 竺 
报废 资产 相关 但 并 不 进行 报废 的 资产 。 


] 8.2 ”基于 风险 党 控 全 过 程 的 常理 


终端 安全 风险 全 过 程 管理 是 指 从 风险 的 预防 、 事 前 、 事 中 、 事 后 和 转移 等 的 全 生命 周期 
中 ， 进 行 分 析 、 管 理 和 处 置 着 手 ， 动 态 地 从 资产 使 用 生命 周期 、 风 险 生 命 周期 、 终 端 安全 边 
界 、 人 员 和 信息 等 多 角度 全 面 分 析 终 疹 风险， 跟踪 风险 、 处 理 风 险 和 审计 风险 ， 实 现 对 风险 
的 全 生命 周期 管理 。 同 时 ， 将 终端 安全 风险 纳入 到 网 络 总 体 安全 风险 中 ， 既 可 以 作为 单独 的 
风险 管理 平台 管控 ， 又 可 以 作为 总 体 安 全 的 一 部 分 ， 从 全 局 分 析 ， 并 以 此 作为 网 络 管理 、 风 
60 


险 告 警 和 辅助 决策 的 依据 。 

每 一 个 风险 事件 都 可 以 分 3 个 阶段 : 事前 、 事 中 和 事后 ， 需 要 针对 每 一 个 阶段 制定 相应 
的 应 对 措施 ， 控 制 风 险 。 制 定 措施 需要 遵循 以 下 原则 。 

1) 事前 对 于 而 风险 必须 进行 有 效 防 范 ， 防 止 此 闫 风险 的 发 生 。 做 到 能 常事 前 隐 范 的 
风险 决 不 留 到 后 面 的 阶段 进行 处 置 。 做 好 安全 意识 培训 和 预防 工作 。 

2) 事 中 当 出 现 意外 导致 高 风险 的 事件 发 生 的 时 候 ， 需 要 立即 通知 管理 人 员 进行 处 
理 。 针 对 出 现 的 违规 行为 ， 应 该 和 当事人 进行 沟通 ， 强 化 意识 ， 减 少 违规 行为 的 再 度 发 生 ， 
并 对 违规 行为 及 相应 的 处 置 措施 进行 详细 记录 。 

3) 事后 定期 对 终端 运行 和 使 用 情况 和 人 员 各 类 操作 行为 情况 进行 汇总 、 分 析 、 审 
计 ， 发 现 和 挖掘 风险 管理 相关 规律 ， 改 进 管理 措施 。 根 据 风 险 的 类 别 和 危害 程度 ， 对 大 部 分 
能 够 技术 控制 的 尽量 上 自动化、 技术 化 管理 。 对 于 有 些 高 风险 ， 技 术 达 不 到 或 者 需要 高 科技 人 
才 处 理 的 就 转 包 给 专业 公司 处 理 ， 通 过 转移 风险 ， 降 低 公司 可 能 承担 的 风险 。 

在 资产 的 使 用 周期 的 4 个 阶段 中 出 现 的 任何 一 个 风险 ， ee 事后 进 
行 分 析 ， 人 和 系统 做 到 全 程 管理 。 从 系统 的 角度 看 是 闭环 管 


基于 等 保 的 合 规 性 人 遵从 管理 


ee ty 在 终端 安全 风险 管理 中 应 履 羡 等 级 保护 相 
天 级 别 对 于 终端 相关 部 分 要 求 。 在 《 终 Sm 
保 合 规 性 的 详细 分 析 。 表 8-1，8-2 分 别 为 等 保 2、3 级 系统 相关 要 求 与 终端 安全 风险 管控 
的 对 应 表 。 


表 8-1 等 保 2 级 要 求 与 终端 安全 风险 管控 的 对 应 表 


等 保 要 求 关 等 级 保护 二 级 要 求 详细 说 明 


a) 应 对 登录 操作 系统 和 数据 库 系统 的 用 户 进 行 吴 份 标识 和 鉴别 

b) 操作 系统 和 数据 库 系统 管理 用 户 身 份 标识 应 具有 不 易 被 冒 用 的 特点 ， 口 
令 应 有 复杂 度 要 求 并 定期 更 换 

c) 应 启用 登录 失败 处 理 功 能 ， 可 采取 结束 会 话 、 限 制 非法 登录 次 数 和 自动 


6.1.3.1 操作 系统 密码 口令 风险 | :个 和 
身份 鉴别 (G2) (BR1.1.1) 退出 等 措施 


d) 当 对 服务 器 进行 远程 管理 时 ， 应 采取 必要 措施 ， 防 止 鉴别 信息 在 网 络 传 
输 过 程 中 被 窃听 

e) 应 为 操作 系统 和 数据 库 系 统 的 不 同 用 户 分 配 不 同 的 用 户 名 ， 确 保 用 户 名 
具有 唯一 性 


6.1.3.5 


恶意 代码 防范 杀毒 软件 检查 风险 a) 应 安装 防 恶 意 代 码 软件 ， 并 及 时 更 新 防 恶 意 代码 软件 版 本 和 恶意 代码 库 
四 人 (BR1.1.3) b) 应 支持 防 恶 意 代码 的 统一 管理 
a) 应 提高 所 有 用 户 的 防 病毒 意识 ， 及 时 告知 防 病毒 软件 版 本 ， 在 读 取 移动 
6.2.5.8 存储 设备 上 的 数据 以 及 网 络 上 接收 文件 或 邮件 之 前 ， 先 进行 病毒 检查 ， 对 外 


恶意 代码 防范 管 杀毒 软件 检查 风险 来 计算 机 或 存储 设备 接 入 网 络 系统 之 前 也 应 进行 病毒 检查 
理 (BR1.1.3) b) 应 指定 专人 对 网 络 和 主机 进行 恶 0 并 保存 检测 记录 


(G2) co) 应 对 防 恶意 代码 软件 的 授权 使 用 、 意 代 码 库 升 级 、 定 期 汇报 等 作出 明 
确 规 定 
人 29.9 
监控 管理 和 安全 | 终端 应 用 软件 检查 风险 a) 应 对 通信 线路 、 主 机 、 网 络 设备 和 应 用 软件 的 运行 状况 、 网 络 流量 、 
管理 中 心 (BR1.1.4) 户 行为 等 进行 监测 和 报警 ， 形 成 记录 并 妥善 保存 
(G3) 
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系统 安全 管理 


入 侵 防 范 (S2) 


6.2.5.3 介质 管理 


设备 管理 


系统 安全 管理 


访问 控制 (G2) 


安全 审 


6.1.2.2 


6.1.2.3 ”安全 审 


等 保 要 求 类 


6.2.5.6 


(G2) 
6.1.2.5 


(G2) 


6.2.5.4 


6.2.5.6 


(G2) 


6.1.2.2 


6.1.2.3 


制 (G2) 


计 (G2) 


6.2.5.4 


设备 管理 (G2) 


边界 完整 性 检查 


介 
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6.1.2.4 


(S2) 


6.2.5.3 
质 管理 〈G2 ) 


如 


E (G2) 


计 (G2) 


计 (G3) 


访问 控 


风险 类 别 


终端 系统 补丁 风险 
(BR1.1.5) 


终端 防火 墙 风险 
(BR1.2.2) 


外 设 端 口 管理 
(BR1.3.1) 


外 设 设备 管理 


(BR1.3.2) 


基本 配置 风险 
(BR1.3.4) 


网 络 设备 运行 风险 
(RR1.1.1) 


网 络 设备 运行 风险 
(RR1.1.1) 


终端 流量 异常 风险 
(RR1.1.2) 


终端 流量 异常 风险 
(RR1.1.2) 

终端 违规 网 络 访问 风险 
(RR1.1.3) 


IP/MAC 地 址 算 改 风险 
(RR1.1.4) 


等 级 保护 二 级 要 求 详细 说 明 


a) 应 定期 进行 漏洞 扫描 ， 对 发 现 的 系统 安全 漏洞 及 时 进行 修补 
b) 应 安装 系统 的 最 新 补丁 程序 ， 在 安装 系统 补丁 前 ， 首 先 在 测试 环境 中 测 


试 通过 ， 并 对 重要 文件 进行 备份 后 ， 方 可 实施 系统 补 
应 在 网 络 边界 处 监视 以 下 攻击 行为 : 端口 扫描 、 


] 程序 的 安装 
强力 攻击 、 木 马 后 门 攻 


击 、 拒 绝 服务 攻击 、 缓 冲 区 溢出 攻击 、 卫 碎片 攻击 和 网 络 肾 虫 攻击 等 
a) 应 确保 介质 存放 在 安全 的 环境 中 ， 对 各 类 介质 进行 控制 和 保护 ， 并 实行 


存储 环境 专人 管理 


盘点 


TAN\ 


b) 应 对 介质 归档 和 查询 等 进行 登记 记录 ， 并 根据 存档 介质 的 目录 清单 定期 


c) 应 对 需要 送出 维修 或 销毁 的 介质 ， 首 先 清除 其 中 敏感 数据 ， 防 止 信息 的 


非法 泄漏 


d) 应 根据 所 承载 数据 和 软件 的 重要 程度 对 介质 进行 


分 类 和 标识 管理 


a) 应 建立 基于 申报 、 审 批 和 专人 负责 的 设备 安全 管理 制度 ， 对 信息 系统 的 


RHN 


各 


止 、 加 电 / 断 电 等 操作 


软 硬 件 设备 的 选 型 、 采 购 、 发 放 和 和 领 用 等 过 程 进行 规范 化 管理 
b) 应 对 终端 计算 机 、 工 作 站 、 便 携 机 、 系 统 和 网 络 等 设备 的 操作 和 使 用 进 
行规 范 化 管理 ， 按 操作 规程 实现 主要 设备 〈 包 括 备份 和 宛 余 设 备 ) 的 启动 / 停 


应 建立 系统 安全 管理 制度 ， 对 系统 安全 人 策略、 安全 配置 、 日 志 管理 和 日 常 


操作 流程 等 方面 作出 具体 规定 


a) 应 保证 关键 网 络 设备 的 业务 处 理 能 力 具 备 元 余 空 间 ， 满 足 业 务 高 | 


期 需要 


二 


b) 应 保证 接 入 网 络 和 核心 网 络 带宽 满足 业务 高 峰 期 需要 


c) 应 绘制 与 当前 运行 情况 相符 的 网 络 拓扑 结构 图 


d) 应 根据 各 部 门 的 工作 职能 、 重 要 性 和 所 涉及 信息 的 重要 程度 等 因素 ， 划 
分 不 同 的 子 网 或 网 段 ， 并 按照 方便 管理 和 控制 的 原则 为 各 子 网 、 网 段 分 配 地 


址 段 


a) 应 对 网 络 系统 中 的 网 络 设备 运行 状况 、 网 络 流量 、 用 户 行为 等 进行 日 志 


记录 


b) 审计 记录 应 包括 : 事件 的 日 期 和 时 间 、 用 户 、 事 件 类 型 、 事 件 是 否 成 功 


及 其 他 与 审计 相关 的 信息 


a) 应 能 根据 会 话 状 态 信息 为 数据 流 提供 明确 的 允许 /拒绝 访问 的 能 力 ， 控 制 


粒度 为 网 段 级 


b) 应 按 用 户 和 系统 之 间 的 允许 访问 规则 ， 决 定 允 许 或 拒绝 用 户 对 受 控 系统 


进行 资源 访问 ， 控 制 粒 度 为 单个 用 户 
c) 应 限制 共有 拨号 访问 权限 的 用 户 数量 


应 对 网 络 系统 中 的 网 络 设备 运行 状况 、 网 络 流量 、 用 户 行为 等 进行 日 志 记录 


应 按 用 户 和 系统 之 间 的 允许 访问 规则 ， 决 定 允 许 或 拒绝 用 户 对 受 控 系统 进 


行 资源 访问 ， 控 制 粒 度 为 单个 用 户 


a) 应 对 网 络 系统 中 的 网 络 设备 运行 状况 、 网 络 流量 、 用 户 行为 等 进行 日 志 


IP/MAC 地 址 算 改 风险 


(RR1.1.4) 


终端 节能 风险 
(RR1.2.5) 


违规 外 联 
(RR1.3.2) 


移动 存储 介质 违规 使 用 


(IR1.1.2) 


记录 


b) 审计 记录 应 包括 : 事件 的 日 期 和 时 间 、 用 户 、 事 件 类 型 、 事 件 是 否 成 功 


及 其 他 与 审计 相关 的 信息 


应 对 终端 计算 机 、 工 作 站 、 便 携 机 、 系 统 和 网 络 等 设备 的 操作 和 使 用 进行 


止 、 加 电 / 断 电 等 操作 


规范 化 管理 ， 按 操作 规程 实现 主要 设备 《包括 备份 和 元 余 设 备 ) 的 局 动 / 停 


应 能 够 对 内 部 网 络 中 出 现 的 内 部 用 户 未 通过 私自 联 到 外 网 的 行为 进行 检查 


a) 应 确保 介质 存放 在 安全 的 环境 中 ， 对 各 类 介质 进行 控制 和 保护 ， 并 实行 


存储 环境 专人 管理 


插 - 


TILAA\ 


b) 应 对 介质 归档 和 查询 等 进行 登记 记录 ， 并 根据 存档 介质 的 目录 清单 定期 


c) 应 对 需要 送出 维修 或 销毁 的 介质 ， 首 先 清除 其 中 敏感 数据 ， 防 止 信息 的 


非法 泄漏 


d) 应 根据 所 承载 数据 和 软件 的 重要 程度 对 介质 进行 


分 类 和 标识 管理 


6.1.5.1 
主 自 立 档 保护 
数据 完整 性 R 
(S2) i 
6.2.5.8 信息 共享 
密码 管理 〈G2 ) (IR1.1.4) 
6.2.5.6 
es 基 风险 
(G2) > 
6.2.3.1 言 息 的 非 技 术 怕 
人 员 录 用 (G2) (IR1.1.5) 
6.2.3.5 
兰 咎 以 村 
外 部 人 员 访问 管 | 仿生 和、 
理 (G2) 
6.2.5.1 言 息 的 非 技 术 性 泄漏 
环境 管理 (G2) (IR1.1.5) 
6.1.1.10 言 息 的 非 技 术 性 泄漏 
电磁 防护 (S2) (IR1.1.5) 
6.1.1.2 es 
物理 访问 控制 0 
(G2) 
6.1.5.2 i 
数据 保密 性 0 
(S2) 2 
6.1.5.3 ve 
备份 和 恢复 ~ 
(G2) a 
BIOS 弱 密 码 风 险 
(BR1.1.2) 
终端 软件 自动 分 发 风险 
(BR1.1.6) 
终端 网 络 运行 环境 风险 
(BR1.2.1) 
终端 注册 表 风 险 
(BR1.3.2) 
终端 系统 驱动 风险 
(BR1.3.3) 
进程 /服务 运行 的 风险 
(RR1.2.1) 
违规 软件 安装 风险 
等 保 范围 外 遵循 (RR1.2.2) 
的 相关 要 求 异常 资源 占用 的 风险 


(RR1.2.3) 


操作 系统 用 户 管理 的 风 
险 (RR1.2.4) 


WH A 1 


漫游 管理 
(RR1.3.3) 
信息 传输 
(IR1.1.1) 


违规 内 联 
(RR1.3.1) 


言 息 的 非 技术 特 


(IR1.1.5) 


终端 应 用 软件 检查 风险 


(BR1.1.4) 


合 竺 策略 


第 8 党 


等 级 保护 二 级 要 求 详细 说 明 


应 能 够 检测 到 鉴别 信息 和 重要 业务 数据 在 传输 过 程 中 完整 性 受到 破坏 


应 使 用 符合 国家 密码 管理 规定 的 密码 技术 和 产品 


应 建立 系统 安全 管理 制度 ， 对 系统 安全 人 策略、 安全 配置 、 日 志 管理 和 日 常 
操作 流程 等 方面 作出 具体 规定 


a) 应 规范 人 员 录 用 过 程 ， 对 被 录用 人 的 身份 、 背 景 、 专 业 资 格 等 进行 


查 ， 


开 


对 其 所 具有 的 技术 技能 进行 考核 


b) 应 与 从 事 关 键 阅 位 的 人 员 签 署 保密 协议 


应 确保 在 外 部 人 员 访 问 受 控 区 域 前 得 到 授权 或 审批 ， 批 准 后 由 专人 全 程 陪 
同 或 监督 ， 并 登记 备案 


a) 应 建立 机 房 安 全 管理 
和 机 房 环 境 安 全 等 方面 的 管 
b) 应 加 强 对 办 公 环 境 的 


央 度 ， 对 有 关机 房 物理 访问 ， 物 品 带 进 、 带 出 机 房 
理 作出 规定 
保密 性 管理 


规范 办 公 环境 人 员 行为 ， 包 括 工作 人 


-> 


员 调 离 办 公 室 应 立即 交还 该 办 公 室 钥匙 、 不 在 办 公 区 接待 来 访 人 员 等 
电源 线 和 通信 线 缆 应 隔离 铺设 ， 避 免 互 相干 扰 


a) 


b) 需 进 入 机 房 的 来 访 人 员 应 经 过 申请 和 审批 流程 ， 并 限制 和 监控 其 活动 范围 


机 房 出 入 口 应 安排 专人 人 值守， 控制 、 鉴 别 和 记录 进入 的 人 员 


应 采用 加 密 或 其 他 保护 措施 实现 鉴别 信息 存储 保密 性 


应 能 够 对 重要 信息 进行 备份 和 恢复 


寺 终 端 软件 自动 分 发 的 要 求 ， 详 细 内 容 参 考 风 险 点 描述 
述 


终端 注 册 表 管理 的 要 求 ， 详 细 内 容 参 考 风险 点 描述 


4 BIOS 密码 弱 口 令 的 要 求 ， 详 细 内 容 参考 风险 点 描述 


终端 网 络 运 行 环境 的 要 求 ， 详 细 内 容 参 考 风 险 点 描述 


寺 终 端 系统 驱动 的 要 求 ， 详 细 内 容 参考 风险 点 描述 


对 


对 


终端 进程 /服务 运行 的 要 求 ， 详 细 内 容 参 考 风险 点 描述 


终端 软件 安装 的 要 求 ， 详 细 内 容 参 考 风 险 点 描述 


终端 异常 资源 占用 的 要 求 ， 详 细 内 容 参 考 风险 点 描述 


终端 操作 系统 用 户 管理 的 要 求 ， 详 细 内容 参 考 风险 点 描述 


二 以 漫游 方式 接 入 的 终端 的 管理 要 求 ， 详 细 内 容 参考 风险 点 描述 


终端 信 息 传输 的 管理 要 求 ， 详 细 内 容 参考 风险 点 描述 
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表 8-2 等 保 3 级 要 求 与 终端 安全 风险 管控 的 对 应 表 


等 保 要 求 类 风险 类 别 等 级 保护 三 级 要 求 详细 说 明 
a) 操作 系统 和 数据 库 系统 管理 用 户 身 份 标识 应 共有 不 易 被 冒 用 的 特点 ， 口 令 应 
有 复杂 度 要 求 并 定期 更 换 
b) 应 启用 登录 失败 处 理 功能 ， 可 采取 结束 会 话 、 限 制 非法 登录 次 数 和 自动 退出 


7.1.3.1 操作 系统 密码 口令 “| 等 措施 
身份 鉴别 风险 c) 当 对 服务 器 进行 远程 管理 时 ， 应 采取 必要 措施 ， 防 止 鉴别 信息 在 网 络 传输 过 
(S3) (BR1.1.1) 程 中 被 窃听 


d) 应 为 操作 系统 和 数据 库 系统 的 不 同 用 户 分 配 不 同 的 用 户 名 ， 确 保 用 户 名 具有 
唯一 性 
e) 应 采用 两 种 或 两 种 以 上 组 合 的 鉴别 技术 对 管理 用 户 进行 身份 鉴别 


a) 应 安装 防 恶 总 PA 并 及 时 更 新 防 恶意 代码 软件 版 本 和 恶意 代码 库 
b) 主机 防 恶意 代码 产品 应 具有 与 网 络 防 恶意 代码 产品 不 同 的 亚 意 代 码 年 
0) 应 支持 防 恶意 代码 的 统 管理 


a) 应 提高 所 有 用 户 的 防 病毒 意识 ， 及 时 告知 防 病毒 软件 版 本 ， 在 读 取 移 动 存储 
设备 上 的 数据 以 及 网 络 上 接收 文件 或 邮件 之 前 ， 先 进行 病毒 检查 ， 对 外 来 计算 机 或 
存储 设备 接 入 网 络 系统 之 前 也 应 进行 病毒 检查 


7.1.3.6 恶意 代 | 杀毒 软件 检查 风险 
码 防范 (G3) (BR1.1.3) 


码 防 范 管理 “| “杀毒 软件 检查 风险 b) 应 指定 专人 对 网 络 和 主机 进行 恶意 代码 检测 并 保存 检测 记录 
a (BR1.1.3) 9) 应 对 防 恶意 代码 软件 的 授权 使 用 、 恶 意 代码 库 升 级 、 定 期 汇报 等 作出 明确 规定 
ee 
机 防 病毒 产品 、 防 病毒 网 关 和 邮件 防 病毒 网 关上 截获 的 危险 病毒 或 恶意 代码 进行 及 
时 分 析 处 理 ， 并 形成 书面 的 报表 和 总 结汇 报 
只 ? 管 j 
0 终端 应 用 软件 检查 风 | ”应 对 通信 线路 、 主 机 、 网 络 设备 和 应 用 软件 的 运行 状况 、 网 络 流量 、 用 户 行为 等 
ee 险 (BR1.1.4) 进行 监测 和 报警 ， 形 成 记录 并 妥善 保存 


7.2.5.7 系统 安 应 安装 系统 的 最 新 补丁 程序 ， 在 安装 系统 补丁 前 ， 首 先 在 测试 环境 中 测试 通过 ， 

全 管理 (G3) (BR1.1.5) 并 对 重要 文件 进行 备份 后 ， 方 可 实施 系统 补丁 程序 的 安装 

7.1.2.5 入 侵 防 总 在 网 络 边 界 处 监视 以 下 攻击 行为 :端口 扫描 、 强 力 攻 击 、 木 马 后 门 攻击 、 拒 绝 
范 (G3) (BR1.2.2) 服务 攻击 、 绥 冲 区 溢出 攻击 、 了 PP 碎片 攻击 和 网 络 蠕虫 攻击 等 


a) 应 建立 介质 安全 管理 制度 ， 对 介质 的 存放 环境 、 使 用 、 维 护 和 销毁 等 方面 做 
出 规定 
7.2.5.3 介质 管 外 设 端口 管理 b) 应 确保 介质 存放 在 安全 的 环境 中 ， 对 各 类 介质 进行 控制 和 保护 ， 并 实行 存储 
理 (G3) (BR1.3.1) 环境 专人 管理 

c 应 对 介质 在 物理 传输 过 程 中 的 人 员 选 择 、 打 包 、 交 付 等 情况 进行 控制 ， 对 介 
质 归档 和 查询 等 进行 登记 记录 ， 并 根据 存档 介质 的 目录 清单 定期 盘点 


a) 应 建立 配套 设施 、 软 硬件 维护 方面 的 管理 制度 ， 对 其 维护 进行 有 效 的 管理 ， 


i 外 设 设备 管理 ee 
理 (Gay (BR132) b) 应 对 终端 计算 机 、 工 作 站 、 便 携 机 、 系 统 和 网 络 等 设备 的 操作 和 使 用 进行 规 
本 范 化 管理 ， 按 操作 规程 实现 主要 设备 〈 包 括 备份 和 宛 余 设备 ) 的 启动 /停止 、 加 电 / 

断 电 等 操作 
7.2.5.7 系统 安 基本 配置 风险 应 建立 系统 安全 管理 制度 ， 对 系统 安全 策略 、 安 全 配置 、 日 志 管理 和 日 常 操作 流 
全 管理 〈G3 ) (BR1.3.4) 程 等 方面 做 出 具体 规定 


a) 应 保证 主要 网 络 设备 的 业务 处 理 能 es 
b) 应 保证 网 络 各 个 部 分 的 带宽 满足 业务 高 峰 期 需 
c) 应 在 业务 终端 与 业务 服务 器 之 间 进 行路 由 控制 建立 安全 的 访问 路 径 
d) 应 绘制 与 当前 运行 情况 相符 的 网 络 拓扑 结构 图 
7.1.2.1 结构 安 | 网 络 设备 运行 风险 e) 应 根据 各 部 门 的 工作 职能 、 重 要 性 和 所 涉及 信息 的 重要 程度 等 因素 ， 划 分 不 
全 《〈G3 ) (RR1.1.1) 同 的 子 网 或 网 段 ， 并 按照 方便 管理 和 控制 的 原则 为 各 子 网 、 网 段 分 配 地 址 段 
f) 应 避免 将 重要 网 段 部 署 在 网 络 边界 处 且 直 接连 接 外 部 信息 系统 ， 重 要 网 段 与 其 
他 网 段 之 间 采 取 可 靠 的 技术 隔离 手段 
多 应 按照 对 业务 服务 的 重要 次 序 来 指定 带宽 分 配 优先 级 别 ， 保 证 在 网 络 发 生 拥 
堵 的 时 候 优先 保护 重要 主机 
a) 应 对 网 络 系统 中 的 网 络 设备 运行 状况 、 网 络 流量 、 用 户 行为 等 进行 日 志 记 录 
b) 审计 记录 应 包括 : 事件 的 日 期 和 时 间 、 有 用户、 事件 类 型 、 事 件 是 否 成 功 及 其 


7.1.2.3 安全 审 网 络 设备 运行 风险 es pe 
计 (G3) (RR1.1.1) 他 与 审计 相关 的 信息 


c) 应 能 够 根据 记录 数据 进行 分 析 ， 并 生成 审计 报表 
d) 应 对 审计 记录 进行 保护 ， 避 免 受到 未 预期 的 删除 、 修 改 或 覆盖 等 
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等 级 保护 三 级 要 求 详细 说 明 


a) 应 能 根据 会 话 状态 信息 为 数据 流 提供 明确 的 允许 /拒绝 访问 的 能 力 ， 控 制 粒 
7.1.2.2 访问 控 终端 流量 异常 风险 度 为 端口 级 


制 〈G3 ) (RR1.1.2) b) 应 限制 网 络 最 大 流量 数 及 网 络 连接 数 
o) 应 限制 具有 拨号 访问 权限 的 用 户 数量 
安全 审 & 端 流量 异常 VS 、 /hy 、 A 
3 | |。 应 对 网 络 系统 中 的 网 络 设备 运行 状况 、 网 络 流量 、 用 户 行为 等 进行 日 志 记 录 
名 和 韦 基 级 访 占 y S Rk MT ,关上 3 一、 
7122 访问 i 安全 审计 应 对 网 络 系统 中 的 网 络 设备 运行 状况 、 网 络 流量 、 用 户 行为 等 进行 日 
控制 (G3) 风险 志 记 录 
(RR1.1.3) 
7.1.2.2 ”访问 | IP/MAC 地 址 算 改 风险 9 总 且 “二 外 从 | 
er i 重要 网 段 应 采取 技术 手段 防止 地 址 欺骗 
本 IP/MAC 地 址 自 改 
由 风险 应 对 网 络 系统 中 的 网 络 设备 运行 状况 、 网 络 流量 、 用 户 行为 等 进行 日 志 记 录 
审计 (G3) i 
el 5 对 慨 训 计算机、 工作 站 、 便 措 机 、 系 统 和 网 络 等 设备 的 探 作 和 使 用 进行 规范 
Re 化 管理 ， 按 操作 规程 实现 主要 设备 〈 包 括 备份 和 宛 余 设 备 ) 的 启动 /停止 、 加 电 / 断 
理 (G3) (RR1.2.5) 电 符 操 作 
等 操作 
0 违规 内 联 应 能 够 对 非 授权 设备 私自 联 到 内 部 网 络 的 行为 进行 检查 ， 准 确定 出 位 置 ， 并 对 
ey (RR1.3.1) 进行 有 效 阻 断 
， 违规 外 联 应 能 够 对 内 部 网 络 用 户 私自 联 到 外 部 网 络 的 行为 进行 检查 ， 准 确定 出 位 置 ， 并 
0 (RR1.3.2) 对 其 进行 有 效 阻 断 


a) 应 建立 介质 安全 管理 制度 ， 对 介质 的 存放 环境 、 使 用 、 维 护 和 销毁 等 方面 做 
出 规定 

b) 应 确保 介质 存放 在 安全 的 环境 中 ， 对 各 类 介质 进行 控制 和 保护 ， 并 实行 存储 
环境 专人 管理 

c) 应 对 介质 在 物理 传输 过 程 中 的 人 员 选 择 、 打 包 、 交 付 等 情况 进行 控制 ， 对 介 


全 


mv。 | wj 如 ww wwiiis | 质 归档 和 查询 等 进行 登记 记录 ， 并 根据 存档 介质 的 目录 清单 定期 盘点 

介质 竺 多 个 4 
Ce a d) 应 对 存储 介质 的 使 用 过 程 、 送 出 维修 以 及 销毁 等 进行 严格 的 管理 ， 对 带 出 工 
- " 人 环境 的 存储 介质 进行 内 容 加 密 和 监控 管理 ， 对 送出 维修 或 销毁 的 介质 应 首先 清 


除 介质 中 的 敏感 数据 ， 对 保密 性 较 高 的 存储 介质 未 经 批准 不 得 自行 销毁 
e) 应 根据 数据 备份 的 需要 对 某 些 介质 实行 异地 存储 ， 存 储 地 的 环境 要 求 和 管理 
方法 应 与 本 地 相同 
f) 应 对 重要 介质 中 的 数据 和 软件 采取 加 密 存 储 ， 并 根据 所 承载 数据 和 软件 的 重 


要 程度 对 介质 进行 分 类 和 标识 管理 


a) 应 能 够 检测 到 系统 管理 数据 、 鉴 别 信息 和 重要 业务 数据 在 传输 过 程 中 完整 性 
7.1.5.1 数据 完 信息 文档 保护 受到 破坏 ， 并 在 检测 到 完整 性 错误 时 采取 必要 的 恢复 措施 
整 性 (S3) (IR1.1.3) b) 应 能 够 检测 到 系统 管理 数据 、 鉴 别 信 息 和 重要 业务 数据 在 存储 过 程 中 完整 性 
受到 破坏 ， 并 在 检测 到 完整 性 错误 时 采取 必要 的 恢复 措施 


7.2.5.9 密码 管 
理 (G3) 


2 mA 
ee ，。、 网吧 0 点 根据 业务 需求 和 系统 安全 分 析 确定 系统 的 访问 控制 策略 


应 建立 密码 使 用 管理 制度 ， 使 用 符合 国家 密码 管理 规定 的 密码 技术 和 产品 


7.1.4.6 通信 保 | 信息 的 非 技 术 性 泄漏 a) 在 通信 双方 建立 连接 之 前 ， 应 用 系统 应 利用 密码 技术 进行 会 话 初始 化 验证 
密 性 (IR1.1.5) b) 在 对 通信 过 程 中 整个 报 文 或 会 话 过 程 进行 加 密 
7.2.3.1 人 员 录 | 信息 的 非 技 术 性 泄漏 a) 应 签署 保密 协议 
] (IR1.1.5) b)》 应 对 内 部 人 员 中 选拔 从 事 关 键 风 位 的 人 员 ， 并 签 普 岗位 安全 协议 
7235 外 部 人 a) 应 确 你 在 外 部 人 员 访 问 受 控 区 域 前 提出 书面 申请 ， 批 准 后 由 专人 全 程 陪同 或 
员 访 问 管理 言 息 的 非 技 术 性 泄漏 监督 ， 并 登记 备案 a . a 本 a , 
CC GR1.1.5) b)》 对 外 部 人 员 人 允许 访问 的 区 域 、 系 统 、 设 备 、 信 息 等 内 容 应 进行 书面 规定 ， 


并 按照 规定 执行 
a) 应 建立 机 房 安 全 管理 制度 ， 对 有 关机 房 物 理 访问 ， 物 品 带 进 、 带 出 机 房 和 机 
房 环 境 安全 等 方面 的 管理 作出 规定 
b) 应 加 强 对 办 公 环 境 的 保密 性 管理 ， 规 范 办 公 环 境 人 员 行 为 ， 包 括 工作 人 员 
调 离 办 公 室 立 即 交 还 该 办 公 钥 匙 、 不 在 办 公 区 接待 来 访 人 员 、 工 作 人 员 离 开 座位 
应 确保 终端 计算 机 退出 登录 状态 和 桌面 上 没有 包含 敏感 信息 的 纸 质 文 件 等 


7.2.5.1 环境 管 言 息 的 非 技 术 性 泄漏 
理 (G3) (R1.1.5) 
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等 保 要 求 类 等 级 保护 三 级 要 求 详细 说 明 
7.1.1.10 电磁 “| 信息 的 非 技术 


应 对 关键 设备 和 磁 介 质 实施 电磁 屏蔽 


防护 (IR1.1.5) 
a) 机 房 出 入 口 应 安排 专人 人 值守， 控制、 鉴别 和 记录 进入 的 人 员 
71.12 物理 访 ee b) 需 进 入 机 房 的 来 访 人 员 应 经 过 申请 和 审批 流程 ， 并 限制 和 监控 其 活动 范围 
: 问 控制 c) 应 对 机 房 划 分 区 域 进行 管理 ， 又 域 和 区 域 之 间 设 置物 理 隔离 装置 ， 在 重要 区 
域 前 设置 交付 或 安装 等 过 渡 区 域 


d) 重要 区 域 应 配置 


子 门 禁 系 统 ， 控 制 、 鉴 别 和 记录 进入 的 人 员 


71.52 数据 保 应 采用 加 密 或 其 他 保护 措施 实现 系统 管理 数据 、 鉴 别 数据 和 重要 业务 数据 存储 保 
密 性 (G3) 密 性 
7.1.53 备份 和 人 为 灾害 访 提 供 末 地 数据 备份 与 恢复 功能 ， 完 全 数据 备份 至 少 每 天 二 次， 备份 文件 刻录 光 
恢复 (G3) (IR1.1.6) 盘存 放 
i 对 BIOS 密码 弱 口 令 的 要 求 ， 洋 细 内 容 参 考 风险 点 描述 
终端 软件 自动 分 发 风 
从 对 终端 软件 自动 分 发 的 要 求 ， 详 细 内 容 参 考 风 险 点 描述 
(BR1.1.0) 
终端 网 络 运 行 环境 风 ee ee ed 
tt 对 终端 网 络 运行 环境 的 要 求 ， 详 细 内 容 参 考 风 险 点 描述 
交 训 汶 给 ee ee 
对 终端 注册 表 管 理 的 要 求 ， 详 细 内 容 参考 风险 点 描述 


| 对 终端 系统 驱动 的 要 求 ， 详 细 内 容 参 考 风险 点 描述 


等 保 范围 外 遵 | 进程 /服务 运行 的 风 和 a i Re 
en TY 


违规 软件 安装 风险 


对 终端 软件 安装 的 要 求 ， 详 细 内 容 参 考 风 险 点 描述 


(RR1.2.2) 
异常 资源 占用 的 风险 


aT 


对 终端 异常 资源 占用 的 要 求 ， 详 细 内 容 参 考 风险 点 描述 


(RR1.2.3) 
操作 系统 用 户 管理 的 
风险 对 终端 操作 系统 用 户 管理 的 要 求 ， 详 细 内 容 参考 风险 点 描述 
(RR1.2.4) 
ss 对 以 漫游 方式 接 入 的 终端 的 管理 要 求 ， 详 细 内 容 参考 风险 点 描述 
信息 传输 对 终端 信息 传输 的 管理 要 求 详细 内 容 参 考 风 占 措 述 
(IR1.1.1) 估 : 而 二 心 公制 下 贞 注 冬 水 ， 二 有 入 合 参 仿 所 招 述 


8.4 ”终端 安全 风险 省 理 扣 


为 及 时 发 现 终端 安全 风险 ， 并 进行 有 效 管控 ， 在 资产 使 用 生命 周期 中 的 各 阶段 的 可 能 存 
在 风险 及 隐患 的 时 刻 ， 对 终端 安全 状态 、 风 险 状 况 和 相关 人 的 行为 进行 监测 ， 在 这 些 时 间 点 
上 所 作 的 监测 称 为 终端 安全 风险 管理 点 。 具 体 参见 表 8-3。 


资产 使 用 生命 周期 风险 管控 风险 管理 点 监测 内 容 


I 


杀毒 软件 使 用 情况 隐患 
入 网 阶段 补丁 安装 情况 陷 中 
软件 安装 情况 隐患 
事 中 软件 安装 /卸载 行为 隐患 和 风险 
运行 阶 自 应 用 软件 分 发 隐患 和 风险 
事 中 补丁 更 新 情况 隐患 和 风险 
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( 续 ) 
资产 使 用 生命 周期 风险 管控 监测 内 容 

网 络 资源 使 用 监控 隐患 
网 络 资源 使 用 监控 隐患 和 风险 

事前 软件 防火 墙 使 用 情况 隐患 
软件 防火 墙 运行 情 ; 

事前 终端 外 设 控制 

事前 移动 存储 介质 使 用 隐患 
移动 存储 介质 应 用 隐患 和 风险 
移动 存储 介质 应 用 风险 

事前 光盘 刻录 机 使 用 隐患 
光盘 刻录 机 应 用 隐患 和 风险 
物理 环境 要 求 隐患 
物理 环境 监控 隐患 和 风险 
设备 使 用 寿命 监控 隐患 和 风险 

运行 阶段 网 络 运行 情况 监控 隐患 和 风险 

事前 进程/ 服务 运行 隐患 

事前 
操作 系统 用 户 监控 隐患 和 风险 
违规 内 联 定义 隐患 
违规 内 联 监控 隐患 和 风险 
违规 内 联 审计 风险 
违规 外 联 定义 隐患 
违规 外 联 监控 隐患 和 风险 
违规 外 联 审计 风险 
打印 行为 监控 隐患 和 风险 
打印 行为 审计 风险 
邮件 外 发 监控 隐患 和 风险 

事前 要 3 隐患 

事后 要 隐患 和 风险 


了 终 演 安全 风险 管理 


资产 使 用 生命 周期 | 风险 管控 监 测 内 

事前 终端 外 设 控 和 隐患 

事后 终 兹 外 设 控制 隐患 和 风险 
事前 操作 系统 用 户 监控 隐患 
维修 阶段 事后 操作 系统 用 户 监控 风险 
事后 杀毒 软件 使 用 情况 风险 
补丁 安装 情况 风险 
软件 安装 情况 风险 


事前 

事前 

事前 终端 外 设 控制 隐患 

事前 操作 系统 用 户 监控 隐患 
废弃 阶 自 

事后 操作 系统 用 户 监控 风险 

事后 杀毒 软件 使 用 情况 隐患 和 风险 

补丁 安装 情况 隐患 和 风险 
事后 软件 安装 情况 隐患 和 风险 
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第 9 章 终端 安全 风险 技术 防护 


9.1 终端 安全 风险 处 置 


终端 风险 管理 的 内 容 包括 以 下 几 个 方面 。 

终端 信息 的 初始 采集 、 辨 别 、 友 现 客户 系统 中 存在 的 威胁 、 脆 弱 性 ， 现 有 的 控制 措施 能 
人 否 有 效 防护 风险 的 发 生 ， 如 果 不 能 ， 则 要 采取 相应 的 控制 措施 ， 以 便 消 除 风 险 、 降 低 风 险 、 
规避 风险 。 

审核 和 批准 是 指 通过 审查 、 测 试 、 评 审 等 手段 ， 检 验 风险 评估 和 风险 处 理 手段 是 人 否 满足 
言 恩 系统 的 安全 要 求 。 

决策 层 依 据 审核 的 结果 ， 做 出 是 否认 可 风险 控制 结果 的 决定 。 

在 终端 环境 发 生变 化 或 者 引入 、 发 现 新 的 风险 时 ， 继 续 循环 检查 、 处 置 。 在 此 过 程 中 ， 
要 不 断 和 运 维 人 员 和 终端 用 户 沟 通 ， 从 业务 、 不 同 角 色 人 员 等 多 角度 评价 风险 。 更 贴切 用 户 
的 安全 风险 需求 ， 共 同 实现 用 户 安全 目标 。 同 时 也 可 以 了 解 用 户 安 全 知识 和 技能 ， 以 提高 用 
户 的 风险 意识 、 知 识 和 技能 ， 最 终 实现 企业 安全 目标 。 


9.2 主要 技术 管控 措施 


为 了 降低 和 规避 终端 系统 的 风险 ， 需 综合 运用 技术 和 管理 手段 来 对 风险 进行 管控 。 技 术 
管控 手段 分 为 风险 及 现 和 风险 防护 两 大 部 分 ， 基 于 技术 文 撑 平台 的 实现 ， 这 两 部 分 又 可 以 分 
为 技术 支撑 平台 目 动 执行 和 人 为 参与 (或 完全 人 为 执行 两 部 分 。 具 体 参 见 “6.1 几 种 常见 
分 类 方式 ”中 的 第 四 种 方式 阐述 。 


] 9.3 终 痛 安全 风险 党 控 列 表 


终端 安全 风险 管控 手段 包括 技术 手段 和 管理 手段 ， 不 同 管控 方式 对 终端 安全 风险 管控 的 
程度 不 同 ， 可 将 风险 管控 方式 分 为 以 下 3 类 。 

基于 技术 平台 全 过 程 处 理 类 (全 自动 ) 是 指 终 剖 安 全 风险 基于 技术 文 撑 平台 自动 友 
现 、 目 动 执 行 防护 措施 ， 可 认为 全 过 程 处 理 类 风险 是 完全 依赖 于 技术 平台 达到 风险 管控 
的 目的 。 

基于 技术 平台 对 这 类 风险 防 控 后 ， 将 相关 执行 结果 信息 显示 给 系统 管理 人 员 或 终 冲 用 
户 ， 系 统 目 行 记录 以 备 日 后 审计 分 析 。 

基于 技术 平台 全 过 程 处 理 类 的 终端 安全 风险 管控 列表 见 表 9-1。 


NS 多 斋 安 全 风险 管理 


表 9-1 基于 技术 平台 全 过 程 处 理 类 终端 安全 风险 列表 


风险 区 
大 类 风 险 
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密码 
口令 
风险 

(BR1.1.1) 


BIOS 弱 密 码 风 险 


(BR1.1.2) 


杀毒 软件 检查 风 
险 (BR1.1.3) 


终端 应 用 软件 检 
查 风 险 
(BR1.1.4) 


终端 系统 补丁 风 
险 (BR1.1.5) 


BR1.1.1.1 
BR1.1.1.2 
BR1.1.1.3 
BR1.1.1.4 
BR1.1.1.5 
BR1.1.1.6 
BR1.1.1.7 
BR1.1.1.8 
BR1.1.1.9 
BR1.1.1.10 
BR1.1.1.11 
BR1.1.1.12 
BR1.1.1.13 
BR1.1.1.14 
BR1.1.1.15 
BR1.1.1.16 
BR1.1.2.2 
BR1.1.2.3 
BR1.1.2.4 
BR1.1.2.6 
BR1.1.2.7 
BR1.1.2.8 


BR1.1.2.9 


BR1.1.2.10 
记 BIOS 密码 
BR1.1.3.1 


BR1.1.3.2 
BR1.1.3.3 


息 不 能 发 现 
BR1.1.4.2 
BR1.1.4.3 
BR1.1.4.4 
BR1.1.4.5 
BR1.1.4.6 
BR1.1.4.7 
BR1.1.4.8 


BR1.1.5.1 


风 险 点 
密码 复杂 性 不 符合 要 求 
密码 复杂 性 不 符合 要 求 的 ， 没 有 提示 终端 用 户 修 改 
密码 复杂 性 不 符合 要 求 的 ， 审 计 信息 没有 上 报 管理 员 
用 户 并 未 按照 密码 复杂 性 不 符合 要 求 的 提示 信息 进行 修改 
密码 最 小 长 度 不 符合 要 求 
密码 最 小 长 度 不 符合 要 求 的， 没有 提示 终端 用 户 修改 
密码 最 小 长 度 不 符合 要 求 的 ， 审 计 信息 没有 上 报 管理 员 
用 户 并 未 按照 密码 最 小 长 度 不 符合 要 求 提示 信息 进行 修改 


密码 最 长 存留 周期 不 符合 要 求 

密码 最 长 存留 周期 不 符合 要 求 的 ， 没 有 提示 终端 用 户 修改 
密码 最 长 存留 周期 不 符合 要 求 的 ， 审 计 信 息 没有 上 报 管理 
用 户 并 未 按照 密码 最 长 存留 周期 要 求 提示 信息 进行 修改 


河 


终端 未 设置 屏保 、 屏 保密 码 的 信息 未 提示 终端 用 户 进行 修改 
终端 未 设置 屏保 、 屏 保密 码 的 审计 信息 未 上 报 管理 员 

用 户 并 未 按照 提示 对 终端 设置 屏保 和 屏保 密码 
BIOS 密码 强度 不 符合 要 求 的 ， 没 有 提示 终端 用 户 修 改 
BIOS 密码 强度 不 符合 要 求 的 ， 审 计 信息 没有 上 报 管理 员 
BIOS 密码 强度 不 符合 要 求 ， 没 有 产生 告警 信息 

BIOS 密码 设置 为 空 

BIOS 密码 设置 为 空 没有 提示 终端 用 户 

BIOS 密码 设置 为 空 没 有 产生 告警 信息 

BIOS 密码 设置 为 空 ， 审 计 信 息 没有 上 报 管理 员 


BIOS 密码 设置 为 空 ， 提 示 终 端 用 户 修 改 ， 用 户 修改 后 自己 起 
终端 没有 安装 防 病毒 软件 
终端 未 安装 防 病毒 软件 ， 没 有 告警 信息 


终端 安装 防 病 毒 软件 后 ， 防 病毒 软件 的 型 号 、 版 本 、 病 毒 库 信 


安装 了 非法 软件 
安装 非法 软件 不 告警 
不 能 禁止 安装 非法 软 人 
安装 非法 软件 后 不 能 印 载 
印 载 正常 软件 
钻 载 正常 软件 不 告警 
不 能 禁止 印 载 正 常 软件 
不 能 识别 终端 已 经 安装 的 补丁 的 补丁 号 、 补 丁 描述 、 补 丁 级 


FF 和 


别 、 补 丁 类 型 和 安装 时 间 等 信息 


BR1.1.5.2 


不 能 识别 终端 尚未 安 疼 的 补丁 信息 ， 有 具体 包括 补丁 号 、 补 丁 摘 


述 、 补 本 级别、 补丁 类 型 等 信息 的 风险 
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风险 


终端 系统 补丁 风 BR1.1.5.3 ”对 没有 安装 补丁 的 终端 不 告警 
险 (BR1.1.5) BR1.1.5.4 ”不 能 统一 安装 补丁 
BR1.1.6.1 ”应 用 软件 不 能 自动 分 发 
BR1.1.6.2 ”应 用 软件 不 自动 分 发 没有 告警 信息 
终端 软件 自动 分 BR1.1.6.3 ”应 用 软件 自动 分 发 后 没有 分 发 成 功 
发 风险 (BR1.1.6) BR1.1.6.4 应 用 软件 自动 分 发 后 没 分 发 成 功 无 告警 信息 
BR1.1.6.5 不 能 设 定 软件 自动 分 发 时 间 
BR1.1.6.8 不 能 对 分 发 的 软件 分 发 成 功 数 、 分 发 成 功率 、 安 装 成 功 数 、 安 
装 成 功率 等 信息 进行 统计 
BR1.2.1.1 不 能 监控 终端 异常 网 络 流量 
BR1.2.1.2 ”终端 出 现 异常 网 络 流量 不 告警 
BR1.2.1.3 不 能 监控 终端 使 用 多 网 卡 
终端 使 用 多 网 卡 不 告警 
BR1.2.1.5 不 能 对 终端 IP/MAC 地 址 进行 绑 定 


BR1.2.1.7 终端 IP/MAC 地 址 绑 定 后 ， 不 能 发 现 终端 克隆 其 他 IP、MAC 
地 址 


BR1.2.2.1 终端 未 安装 防火 墙 软件 
BR1.2.2.2 ”终端 未 安装 防火 墙 软件 ， 没 有 告警 信息 
终端 环境 安全 终端 安装 防火 墙 软件 后 ， 防 火 墙 软件 的 型 号 、 版 本 、 特 征 库 信 
基础 | 风险 (BR1.2) 0 一 - 
BR1.2.2.5 终端 防火 墙 软件 程序 和 特征 库 不 能 升级 到 最 新 状态 

BR1.2.2.6 终端 防火 墙 程序 处 于 未 运行 状态 
终端 防火 墙 风 险 BR1.2.2.8 防火墙 程序 处 于 未 运行 状态 ， 没 有 告警 信息 

人 BR1.2.2.9 终端 防火 墙 不 能 进行 PP 地 址 控制 
BR1.2.2.10 终端 防火 墙 软件 采用 了 耳 地 址 控制 ， 但 控制 不 生效 
BR1.2.2.11 终端 防火 墙 不 能 进行 端口 控制 
BR1.2.2.12 ”终端 防火 墙 软件 采用 了 端口 控制 ， 但 控制 不 生效 
BR1.2.2.13 ”终端 防火 墙 不 能 协议 控制 
BR1.2.2.14 终端 防火 墙 软件 采用 了 协议 控制 ， 但 控制 不 生效 
BR1.3.1.1 光驱 端口 没有 管控 
BR1.3.1.2 ”软驱 端口 没有 管控 
BR1.3.1.3 USB 端口 接 入 普通 设备 没有 管控 
BR1.3.1.4 USB 端口 接 入 存储 介质 没有 管控 
BR1.3.1.5 打印 机 端口 没有 管控 
0 CC BR1.3.1.6 ”调制解调器 端口 没有 管控 
BR1.3.1.7 串口 没有 
BR1.3.1.8 ”并 口 没 有 
BR1.3.1.9 1394 端口 没有 管控 
BR1.3.1.10 红外 设备 端口 没有 管 
BR1.3.1.11 蓝牙 设备 端口 没有 管 


终端 网 络 运行 环 
境 风险 [BR1.2.1) BR1.2.1.4 发现 


气 


珊 


H: 


珊 


H 


3 
号 


3 


3 


HH 


3 
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风 险 点 
BR1.3.1.12 PCMCIA 设备 端口 没有 管控 
BR1.3.1.13 ”磁带 机 设备 端口 没有 管控 
BR1.3.1.14 无线 网 卡 设备 端口 没有 管控 
BR1.3.1.15 智能卡 设备 端口 没有 管控 


外 设 端口 管理 
(BR1.3.1) BR1.3.1.16 多 媒体 设备 端口 没有 管控 

BR1.3.1.17 USB 端口 接 入 普通 设备 禁用 ， 导 致 人 机 交互 类 设备 无 法 使 用 
BR1.3.1.18 USB 端口 接 入 普通 设备 禁用 ， 导 致 认证 Key 类 设备 无 法 使 用 


BR1.3.1.19 USB 端口 接 入 存储 设备 禁用 ， 导 致 照相 机 、MP3 等 设备 无 法 
使 用 


终端 外 设 安全 
风险 (BR1.3) 


外 设 设备 管理 
(BR1.3.2) 
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BR1.3.2.1 

BR1.3.2.2 

BR1.3.2.3 

BR1.3.2.4 

BR1.3.2.5 

BR1.3.2.6 

BR1.3.2.7 

BR1.3.2.8 

BR1.3.2.9 

BR1.3.2.10 
BR1.3.2.11 
BR1.3.2.12 
BR1.3.2.15 
BR1.3.2.16 
BR1.3.2.17 
BR1.3.2.18 
BR1.3.2.20 
BR1.3.2.21 
BR1.3.2.22 
BR1.3.2.25 
BR1.3.2.26 
BR1.3.2.27 
BR1.3.2.29 
BR1.3.2.30 
BR1.3.2.31 
BR1.3.2.33 
BR1.3.2.34 
BR1.3.2.35 
BR1.3.2.37 
BR1.3.2.38 


U 盘 / 移 动 存储 卡 使 用 ， 没 有 提示 终端 用 户 


U 盘 /移动 存储 卡 使 用 ， 审 计 信 息 没 有 上 报 管理 员 


U 盘 / 移 动 存储 卡 使 用 ， 没 有 产生 告警 
移动 硬盘 使 用 ， 没 有 提示 终端 用 户 
移动 硬盘 使 用 ， 审 计 信 息 没 有 上 报 管理 
移动 硬盘 使 用 ， 没 有 产生 告警 
软盘 使 用 ， 没 有 提示 终端 用 户 
软盘 使 用 ， 审 计 信息 没有 上 报 管理 
软盘 使 用 ， 没 有 产生 告警 

光盘 驱动 器 使 用 ， 没 有 提示 终端 用 户 

驱动 器 使 用 ， 审 计 信 息 没有 上 报 管理 员 
驱动 器 使 用 ， 没 有 产生 告警 

刻录 机 使 用 ， 没 有 提示 终端 用 户 

录 机 使 用 ， 审 计 信息 没有 上 报 管理 员 
录 机 使 用 ， 没 有 产生 告警 

纪录 机 刻录 光盘 内 容 没 有 上 报 管理 员 


Pall 


河 


照相 机 /MP3/ 智 能 手机 类 设备 使 用 ， 没 有 提示 终端 用 户 


照相 机 /MP3/ 智 能 手机 类 设备 使 用 ， 审 计 信息 没有 上 报 管理 员 


照相 机 /MP3/ 智 能 手机 类 设备 使 用 ， 没 有 产生 告警 


3G 手机 使 用 ， 没 有 提示 终端 用 户 

3G 手机 使 用 ， 审 计 信息 没有 上 报 管理 员 
3G 手机 使 用 ， 没 有 告警 

蓝牙 使 用 ， 没 有 提示 终端 用 户 

蓝牙 使 用 ， 审 计 信息 没有 上 报 管理 员 
蓝牙 使 用 ， 没 有 告警 

红外 使 用 ， 没 有 提示 终端 用 户 

红外 使 用 ， 审 计 信息 没有 上 报 管理 员 
红外 使 用 ， 没 有 告警 


便携 式 WIFI 和 无 线 网 卡 使 用 ， 没 有 提示 终端 用 


便携 式 WIFI 和 无 线 网 卡 使 用 ， 审 计 信息 没有 


上 报 管理 


风 险 点 


BR1.3.2.39 ”便携 式 WIFI 和 无 线 网 卡 使 用 ， 没 有 告警 

BR1.3.2.41 打印 机 使 用 ， 审 计 信 息 没 有 上 报 管理 员 

BR1.3.2.42 ”打印 机 使 用 ， 没 有 告警 

BR1.3.2.45 ”传真 机 使 用 ， 审 计 信息 没有 上 报 管理 员 

BR1.3.2.46 ”传真 机 使 用 ， 没 有 告警 

BR1.3.2.48 ”未 经 过 准 入 控制 的 终端 使 用 打印 机 

BR1.3.2.49 ”投影 仪 /电视 机 /电子 显示 屏 功 能 使 用 ， 审 计 信 息 没 有 上 报 管理 
BR1.3.2.50 ”投影 仪 /电视 机 /电子 显示 屏 功 能 使 用 ， 没 有 告警 
BR1.3.2.51 ”投影 仪 /电视 机 /电子 显示 屏 功 能 使 用 ， 没 有 提示 终端 用 户 
BR1.3.3.1 没有 对 终端 注册 表 系 统 关键 项 访问 进行 监控 
BR1.3.3.2 ”没有 对 终端 注册 表 系 统 关键 项 增加 进行 监控 
BR1.3.3.3 ”没有 对 终端 注册 表 系 统 关键 项 删除 进行 监控 


外 设 设备 管理 


(BR1.3.2) 


终端 注册 表 风 险 BR1.3.3.4 没有 对 终端 注册 表 用 户 关 键 项 访问 进行 监控 

(BR1.3.3) BR1.3.3.5 没有 对 终端 注册 表 用 户 关键 项 增加 进行 监控 

BR1.3.3.6 ”没有 对 终端 注册 表 用 户 关键 项 删除 进行 监控 

BR1.3.3.7 ”对 终端 下 发 的 注册 表 监 控 策 略 没有 根据 需要 及 时 更 新 

BR1.3.3.9 ”对 终端 下 发 的 注册 表 策 略 被 停止 或 被 删除 

BR1.3.4.1 没有 监控 终端 系统 的 打印 机 驱动 程序 驱动 文件 加 载 、 修 改 、 删 
除 操作 

BR1.3.4.2 ”没有 监控 终端 系统 的 显卡 /声卡 驱动 程序 驱动 文件 加 载 、 修 改 、 
删除 操作 

BR1.3.4.3 没有 监控 终端 系统 的 网 卡 驱 动 程序 驱动 文件 加 载 、 修 改 、 删 除 
终端 外 设 安全 操作 
风险 (BR1.3) BR1.3.4.4 没有 监控 终端 系统 的 总 线 驱 动 程序 驱动 文件 加 载 、 修 改 、 删 除 
操作 

BR1.3.4.5 没有 监控 终端 系统 的 硬盘 驱动 器 驱动 程序 驱动 文件 加 载 、 修 
改 、 删 除 操作 


终端 系统 驱动 风 BR1.3.4.6 ”没有 监控 终端 系统 的 文件 系统 驱动 程序 驱动 文件 加 载 、 修 改 、 
险 (BR1.3.4) 删除 操作 


BR1.3.4.7 没有 监控 终端 系统 的 扫描 仪 、 数 码 相 机 了 驱动 程序 驱动 文件 加 

载 、 修 改 、 删 除 操作 
BR1.3.4.8 没有 对 终端 系统 的 打印 机 驱动 程序 做 分 析 ， 建 立 白 名 单 
BR1.3.4.9 没有 对 终端 系统 的 显卡 /声卡 驱动 程序 做 分 析 ， 建 立 白 名 单 
BR1.3.4.10 ”没有 对 终端 系统 的 网 卡 驱 动 程序 驱 动 程序 做 分 析 ， 建 立 白 名 单 
BR1.3.4.11 没有 对 终端 系统 的 总 线 驱 动 程序 做 分 析 ， 建 立 白 名 单 
BR1.3.4.12 没有 对 终端 系统 的 硬盘 驱动 程序 做 分 析 ， 建 立 白 名 单 
BR1.3.4.13 ”没有 对 终端 系统 的 文件 系统 驱动 程序 做 分 析 ， 建 并 白 名 单 
BR1.3.5.1 ”通过 安全 配置 中 心 给 终端 下 发 了 基本 配置 策略 ， 终 端 修改 了 基 

本 配置 
BR1.3.5.2 ”终端 修改 了 基本 配置 ， 没 有 提示 终端 用 户 

基本 配置 风险 BR1.3.5.3 ”终端 修改 了 基本 配置 ， 审 计 信息 没有 上 报 管理 员 
(BR1.3.5) BR1.3.5.4 终端 修改 了 基本 配置 ， 没 有 产生 告警 

BR1.3.5.5 ”安全 配置 中 心 给 终端 下 发 的 基本 配置 策略 没有 及 时 更 新 

RR1.1.1.3 ”网 络 通信 状态 ， 拓 扑 不 明 

RR1.1.1.4 缺乏 基本 的 网 络 运行 基线 
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终端 外 设 安全 


终端 运行 安全 
(RR1.2) 


风险 (BR1.3) 


类 风险 子 


类 


终 


终 


yu 蛋 . 已 说 ， 
端 流 量 异 常 


险 (RR1.1.2) 


基本 配置 风险 
(BR1.3.5) 


风 


端 违规 网 络 访 


问 风 险 (RR1.1.3) 


IP/MAC 地 址 算 


改 风 险 
(RR1.1.4) 


风险 
(RR1.2.1) 


进程 /服务 运行 的 


RR1.1.1.8 


RR1.1.2.1 
RR1.1.2.2 
RR1.1.2.3 
RR1.1.2.6 
RR1.1.2.7 
RR1.1.2.8 
RR1.1.2.10 
RR1.1.2.11 
RR1.1.3.1 
RR1.1.3.2 
RR1.1.3.3 


RR1.1.3.4 


RR1.1.3.5 
不 一 至 
RR1.1.3.6 
不 一 至 
RR1.1.3.7 
的 不 一 臻 
RR1.1.3.8 
不 一 至 


RR1.1.3.10 


RR1.1.3.11 


所 有 的 违规 及 时 告警 或 处 理 


RR1.1.4.1 
RR1.1.4.2 
RR1.1.4.3 
RR1.1.4.4 
RR1.1.4.5 
RR1.1.4.6 
RR1.1.4.7 


手段 及 时 恢复 卫 地 址 的 初始 状态 


风 险 点 


没有 及 时 获取 网 络 设备 的 运行 情况 和 联网 信息 

没有 监控 终端 发 送 和 接收 数据 包 的 数量 

没有 监控 终端 并 发 连接 数 的 数量 

不 能 自动 识别 终端 的 P2P 下 载 行为 

不 能 下 发 流量 和 连接 数 白 名 单 策 略 

不 能 及 时 发 现 流量 和 连接 数 白 名 单 策 略 被 停止 或 被 删除 
发 现 白 名 单 策略 丢失 后 不 能 及 时 恢复 

发 现 终端 连接 数 过 大 但 不 能 控制 
发 现 终端 流量 过 大 但 不 能 控制 
没有 终端 访问 的 全 范围 
没有 终端 访问 的 端口 范围 
没有 终端 访问 的 业务 服务 器 范围 
没有 终端 访问 使 用 的 协议 范围 
略 本 吴 没 有 及 


束 


下 


各 本 吴 没 有 及 


小 


各 本 喘 没 有 及 


小 


各 本 吴 没 有 及 


管理 平台 不 能 及 时 发 现 所 有 的 上 述 违规 的 终端 网 络 访问 行为 
管理 平台 发 现 了 上 述 


没有 记录 所 有 网 卡 的 MAC 地 址 和 对 应 的 IP 地址 

终端 的 IP/MAC 地 址 绑 定 可 以 随意 修改 

不 对 终端 的 多 网 卡 状态 进行 监控 

不 能 及 时 发 现 终端 的 多 网 卡 状 态 

不 能 及 时 发 现 终端 的 IP/MAC 地 址 绑 定 随意 修改 状况 

不 能 发 现 终 端的 IP/MAC 地 址 绑 定 模块 被 随意 停止 或 删除 


时 更 新 完善 导致 终端 访问 的 卫 范围 与 限定 的 
时 更 新 完善 导致 终端 访问 的 端口 范围 与 限定 的 
时 更 新 完善 导致 终端 访问 的 业务 服务 器 与 限定 


时 更 新 完善 导致 终端 访问 使 用 的 协议 与 限定 的 


述 违规 的 终端 网 络 访问 行为 ， 但 是 不 能 对 


发 现 终端 的 IP/MAC 地 址 绑 定 模块 随意 修改 后 ， 不 能 采取 技术 


RR1.1.4.8 ”发 现 终端 的 IP/MAC 地 址 绑 定 模块 随意 修改 后 不 能 对 终端 进行 
采取 提示 违规 行为 记录 并 上 报 管理 员 ， 警 告 直至 人 工 现 场 处 理 

RR1.2.1.1 黑 名单 进 程 /服务 运行 

RR1.2.1.2 ” 黑 名 单 进程 /服务 运行 ， 没 有 提示 终端 用 户 

RR1.2.1.3” 黑 名 单 进程 /服务 运行 ， 审 计 信 息 没有 上 报 管理 员 

RR1.2.1.4 黑 名 单 进 程 /服务 运行 ， 没 有 产生 告警 

RR1.2.1.5 黑 名 单 进 程 /服务 运行 ， 没 有 通过 策略 阻止 

RR1.2.1.6” 黑 名 单 进 程 /服务 运行 ， 提 示 用 户 禁 止 进程 /服务 ， 但 用 户 又 习 
启 该 进程 /服务 

RR1.2.1.11 和 白 名 单 进程 /服务 运行 不 完整 ， 没 有 提示 终端 用 户 


RR1.2.1.12 


白 名 单 进 程 /服务 运行 不 完整 ， 审 计 信息 没有 上 报 管理 员 


进程 /服务 运行 的 
风险 
(RR1.2.1) 


违规 软件 安装 风 
险 (RR1.2.2) 


终端 运行 安全 
(RR1.2) 


异常 资源 占 月 
险 (RR7) 
(RR1.2.3) 


致 


该 


RR1.2.1.13 
RR1.2.1.15 


RR1.2.1.18 


RR1.2.1.20 
RR1.2.2.1 
RR1.2.2.2 
RR1.2.2.3 
RR1.2.2.4 


RR1.2.2.5 


RR1.2.2.6 
软件 
RR1.2.2.9 


白 名 单 进程 /服务 运行 


第 9 党 


不 完整 ， 没 有 产生 告警 


白 名 单 进程 /服务 运行 
户 又 禁止 该 进程 /服务 


不 完整 ， 提示 户 启 进程 /服务 ， 但 用 


白 名 单 


黑 名 单 进程 /服务 运行 ， 
违规 软件 安装 


[en 
aa 


进程 /服务 运行 ， 不 能 用 已 有 的 白 名 单机 种 
白 名 单 进程 /服务 不 能 检测 


I 来 检测 ， 


导 


导致 内 存 占 用 率 持续 高 


规 软件 安装， 没有 提示 终端 用 户 


违 ] 


违规 软件 安装 不 能 检测 
必须 安装 软件 安装 不 完整 


装 


测 ， 


融 


RR1.2.2.10 
RR1.2.2.11 
RR1.2.2.12 
RR1.2.2.13 


RR1.2.2.14 


RR1.2.2.15 
软件 
RR1.2.2.18 


RR1.2.2.19 
RR1.2.2.20 
RR1.2.3.1 
RR1.2.3.2 
RR1.2.3.3 
RR1.2.3.4 
RR1.2.3.5 
RR1.2.3.6 
RR1.2.3.7 
RR1.2.3.8 
RR1.2.3.9 
RR1.2.3.10 
RR1.2.3.11 
RR1.2.3.12 


RR1.2.3.14 


规 软件 安装 ， 审 计 信息 没有 上 报 管理 
规 软 件 安装 ， 没 有 产生 告警 

违规 软件 安装 ， 没 有 通过 策略 卸载 
规 软 件 安装 ， 提 示 用 户 印 裁 软件 ， 


岗 软 件 安 装 ， 不 能 用 已 有 的 违 


3 


mp 


但 用 户 又 重新 安装 了 


规 软件 检查 机 制 来 检测 ， 导 致 


必须 安装 软 


没有 提示 终端 用 户 


必须 


牛 安装 不 完整 ， 


FE 
洱 


计 信息 没有 上 报 管 班 


i 安 装 软 
必 有 


页 安 装 软件 安装 不 完 


整 ， 没 有 产生 告警 


必须 安装 软件 安装 不 完 


整 ， 没 有 通过 策略 进行 软件 分 发 


必须 安装 软件 安装 不 完 


Np 
必须 


安装 软件 的 检测 ， 了 
导致 必须 安装 的 软件 检测 无 法 进行 


整 ， 提 示 用 户 安装 软件 ， 但 用 户 不 安 


已 有 的 必须 安装 软件 列表 来 检 


对 终端 软件 安装 信息 变化 不 记录 ， 不 产生 千 


站 


对 终端 软件 安装 信息 变化 不 记录 ， 不 审 


i 


终端 CPU 使 用 率 持 续 高 


端 CPU 使 用 率 持 续 高 ， 没 有 提示 和 终 


祥 端 用 户 


终端 CPU 使 用 率 持续 高 ， 


计 信 息 没 有 上 报 管理 员 


终端 CPU 使 用 率 持 续 高 ， 没 有 按照 设 定 的 阀 值 ， 


人 
以 产生 告警 


终端 内 存 使 用 率 持续 高 


由 


终端 内 存 使 用 率 


持续 高 ， 没 有 提示 终端 用 户 


终端 内 存 使 用 率 持 续 高 ， 审 


计 信 息 没 有 上 报 管理 员 


终端 内 存 使 用 率 


持续 高 ， 没 有 按照 设 定 的 阔 值 ， 
终端 磁盘 剩余 空间 不 足 


以 产生 告警 


终端 磁盘 剩余 空间 不 足 ， 没 有 提示 终端 用 户 
终端 磁盘 剩余 空间 不 足 ， 审 计 信 息 没 有 上 报 管理 员 


终端 磁盘 剩余 空间 不 足 ， 没 有 按照 设 
当 终端 内 存 使 用 率 过 高 时 ， 将 内 存 占用 率 高 的 进程 信息 


理 员 ， 管 理 


融 


员 禁 用 了 该 进程 ， 但 该 


= 间 


RR1.2.3.15” 当 终端 磁盘 剩余 空 
理 员 ， 管 理 员 对 磁盘 空间 进行 了 清 


直 ， 以 产生 人 


玫 
距 


定 的 立 


卫 


上 报 


进程 不 应 禁止 


不 足 时 ， 将 磁盘 空间 不 足 的 信息 上 报 了 
理 ， 删 除了 一 些 不 能 删除 的 文件 
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操作 系统 用 户 
里 风险 
(RR1.2.4) 


终端 运行 安全 
(RR1.2) 


终端 节能 风险 
(RR1.2.5) 


网 络 边界 风险 
(RR1.3) 


违规 内 联 
(RR1.3.1) 


风 险 点 

RR1.2.3.16 ” 当 终 端 磁盘 剩余 空间 不 足 时 ， 将 磁盘 空间 不 足 的 信息 上 报 了 
管理 员 ， 管 理 员 对 磁盘 空间 进行 了 清理 ， 改 变 一 些 文件 的 存放 路 径 
RR1.2.4.1 操作 系统 受 限 用 户 权限 被 变更 为 管理 员 用 户 

RR1.2.4.2 ”操作 系统 受 限 用 户 权限 被 变更 为 管理 员 用 户 ， 审 计 信息 不 上 报 
管理 员 

RR1.2.4.3 ”操作 系统 受 限 用 户 权限 被 变更 为 管理 员 用 户 ， 不 提示 终端 用 户 
RR1.2.4.4 ”操作 系统 受 限 用 户 权 限 被 变更 为 管理 员 用 户 ， 不 产生 告警 
RR1.2.4.5 ”操作 系统 受 限 用 户 权 限 被 变更 为 管理 员 用 户 ， 用 户 使 用 变更 后 
的 权限 登录 终端 ， 对 终端 进行 操作 

RR1.2.4.6 ”操作 系统 管理 员 用 户 权限 变更 为 受 限 用 户 

RR1.2.4.7 ”操作 系统 管理 员 用 户 权 限 变 更 为 受 限 有 用户， 审计 信息 不 上 报 
RR1.2.4.8 ”操作 系统 管理 员 用 户 权限 变更 为 受 限 有 用户， 不 提示 终端 用 户 
RR1.2.4.9 ”操作 系统 管理 员 用 户 权限 变更 为 受 限 用 户 ， 不 产生 告警 
RR1.2.4.10 ”操作 系统 管理 员 用 户 权限 变更 为 受 限 用 户 ， 用 户 使 用 变更 后 
的 权限 登录 终端 ， 对 终端 进行 操作 

RR1.2.4.11 增加 /删除 系统 管理 员 权 限 的 操作 系统 用 户 

RR1.2.4.12 ”增加 /删除 系统 管理 员 权限 的 操作 系统 用 户 ， 审 计 信 息 不 上 报 
RR1.2.4.13 ”增加 /删除 受 限 用 户 权 限 的 操作 系统 用 户 

RR1.2.4.14 ”增加 /删除 受 限 用 户 权 限 的 操作 系统 用 户 ， 审 计 信 息 不 上 报 
RR1.2.4.15 ”操作 系统 用 户 组 权限 修改 

RR1.2.4.16 ”操作 系统 用 户 组 权限 修改 ， 不 通知 终端 用 户 

RR1.2.4.17 ”操作 系统 用 户 组 权限 更 改 ， 审 计 信息 不 上 报 管理 员 
RR1.2.4.18 ”增加 /删除 操作 系统 用 户 组 

RR1.2.4.19 ”增加 /删除 操作 系统 用 户 组 ， 审 计 信 息 不 上 报 

RR1.2.5.1 ”终端 短 时 间 不 需要 人 机 交互 时 ， 没 有 按 规 定 设 定 待机 
RR1.2.5.2 a et As 
RR1.2.5.3 终端 没有 按照 节能 策略 ， 在 短 时 间 不 需要 人 机 交互 时 ， 设 定 关 
闭 显示 器 

RR1.2.5.4 终端 没有 按照 节能 策略 ， 在 短 时 间 不 需要 人 机 交互 时 ， 设 定 关 
闭 硬盘 

RR1.3.1.1 终端 资产 没有 在 资产 管理 系统 登记 的 违规 内 联 

RR1.3.1.2 ”终端 资产 与 资产 管理 系统 登记 信息 不 符 的 违规 内 联 

RR1.3.1.6 ”终端 病毒 检查 不 合 规 的 违规 内 联 

RR1.3.1.7 ”终端 操作 系统 补丁 检查 不 合 规 的 违规 内 联 

RR1.3.1.8 终端 应 用 软件 检查 不 合 规 的 违规 内 联 

RR1.3.1.9 终端 木马 检查 不 合 规 的 违规 内 联 

RR1.3.1.10 终端 外 设 控制 检查 不 合 规 的 违规 内 联 

RR1.3.1.13 不合 规 的 违规 内 联 终端 ， 不 被 强制 定位 到 隔离 区 

RR1.3.1.14 ”隔离 区 的 终端 ， 不 进行 有 效 验 证 就 被 允许 入 网 

RR1.3.1.15 ”隔离 区 内 的 终端 ， 用 户 未 按 流程 进行 合 规 化 处 理 

RR1.3.1.17 非 内 网 终端 连 入 内 网 ， 无 流程 化 处 理 

RR1.3.1.18 ” 非 内 网 终端 连 入 内 网 ， 无 应 急 处 理 


风险 


大 类 


基础 
安全 
风险 
(BR) 


信 县 
安全 
风险 
(IR) 


网 络 边 界 风险 
(RR1.3) 


信息 扩散 风险 
(IR1.1) 


违 


规 内 联 


(RR1.3.1) 


违 


规 外 联 


(RR1.3.2) 


漫游 管理 


(RR1.3.3 


A 


言 息 传输 的 风险 


(IR1.1.1) 


移动 存储 介质 违 
规 使 用 的 风险 
(IR1.1.2) 


RR1.3.1.19 
RR1.3.1.20 


RR1.3.1.21 
RR1.3.1.22 


计 和 记录 


RR1.3.1.23 
RR1.3.1.24 
RR1.3.1.25 
RR1.3.1.26 
RR1.3.1.28 
RR1.3.1.29 
RR1.3.1.30 
RR1.3.2.1 


RR1.3.2.2 
RR1.3.2.3 


端 断 网 


RR1.3.2.4 
RR1.3.2.5 


RR1.3.2.6 
RR1.3.3.1 


] 户 未 按 流程 进行 映 份 登记 


终端 安全 风险 
风 险 点 
非 内 网 终端 接 入 内 网 ， 无 授权 审批 。 
非 内 网 终端 接 入 内 网 后 ， 
非 内 网 终端 授权 接 入 内 网 ， 不 进行 安全 检测 
非 内 网 终端 授权 接 入 内 网 ， 不 对 其 


授权 接 入 内 网 的 终端 ， 使 
对 非 授权 使 用 卫 的 终端 


j 未 经 系统 管理 


站 \ 进 行 提示 


上 传 下 载 数据 行为 进行 审 


对 非 授 权 使 用 人 P 的 终端 未 进行 审计 上 报 


非 授权 使 用 IP 的 终端 ， 
对 非 授权 开局 服务 器 端 服务 的 终端 不 进行 
对 非 授权 开局 服务 器 端 服务 的 终端 
非 授权 开启 服务 器 端 服 务 的 终端 ， 用 户 未 按 提示 关闭 服务 


终端 在 内 网 环境 下 的 违规 外 
终端 在 内 网 环境 下 的 违规 外 


j 户 未 按 


提示 修改 卫 


提示 


进行 


审计 上 报 


联 不 能 进行 


检测 


联 不 能 进行 
终端 在 内 网 环境 下 的 违规 外 联 进行 阻 断 误 报导 致 的 正常 使 用 


阻 断 


E 员 分 配 的 全 或 全 段 


不 能 检测 终端 在 离 网 后 的 违规 外 联 行为 
不 能 对 终端 离 网 后 的 违规 外 
终端 离 网 状态 下 不 能 进行 阻 


终 站 


联 行为 进行 
断 ， 产 生 信息 外 泄 
在 行业 内 部 不 同 单位 之 间 漫 游 时 
现 ， 并 自动 接管 漫游 终端 


i 计 记 录 和 告警 


\ 
次 


， 目 的 地 服务 器 不 能 发 


RR1.3.3.2 ”目的 地 服务 器 不 能 预定 义 漫游 组 ， 并 自动 将 漫游 终端 归 入 漫游 


组 中 


RR1.3.3.3 


RR1.3.3.5 


目的 地 服务 器 不 能 针对 漫游 组 预定 义 各 种 安全 策略 
RR1.3.3.4， 源 服务 器 对 终端 漫游 数据 下 发 错误 导致 漫游 终 让 
入 网 


i 无 法 在 目的 地 


漫游 目的 地 服务 器 下 发 的 漫游 组 安全 集 略 弱 于 漫游 终端 在 源 网 


络 中 的 安全 策略 


RR1.3.3.7 ”终端 所 属 源 服务 器 不 能 获取 到 终端 漫游 状态 信息 


RR1.3.3.8 
RR1.3.3.9 
IR1.1.1.1 
IR1.1.1.2 
IR1.1.1.3 


IR1.1.1.4 
IR1.1.1.6 


终端 漫游 时 ， 不 能 自动 将 各 
回 到 注册 源 服务 器 后 ， 不 能 及 时 上 报 终端 的 漫游 期 间 的 违规 行为 
不 能 对 发 送 邮件 行为 进行 控制 


审计 报警 日 


eb 
4D 


不 能 对 发 送 邮件 行为 进行 审计 


邮件 发 送行 为 的 控制 导致 条 些 内 容 不 违规 


不 能 对 打印 管理 


不 审 


计 终 端的 打印 行为 (包括 终端 属 怕 
件 、 份 数 、 打 印 机 等 ) 
IR1.1.1.7 终端 通过 传输 文 从 


g 件 无 法 发 送 


F 带 来 的 安全 风险 


上 报 至 目的 地 服务 器 


E、 打 印 时 间 、 打 印 文 


IR1.1.1.8 ”终端 (包括 移动 存储 设备 ) 上 存在 国家 秘密 级 或 以 上 密级 的 文 


IR1.1.2.1 


件 的 安全 风险 
移动 存储 介质 没有 进行 资产 登记 管理 
IR1.1.2.2 UU 盘 没 有 进行 单独 注 


只 和 授权 


IR1.1.2.3 ”移动 存储 介质 没有 进行 安全 等 级 划分 


了 及 1.1.2.4 光盘 介质 使 用 没有 进行 禁止 、 限 制 范 围 的 管理 


对 移动 存储 介质 缺乏 管理 
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RS 终端 安全 风险 管理 


风险 人 洲 人 六 占 
已 光 风 险 类 风险 子 类 风 险 所 


IR1.1.2.5 ”移动 存储 介质 格式 化 ， 授 权 信 息 被 更 改 

IR1.1.2.6 移动 存储 介质 被 重新 分 区 ， 授 权 信 息 补 更 改 

IR1.1.2.7 移动 存储 介质 授权 信息 被 更 改 ， 没 有 报警 提示 和 禁止 
IR1.1.2.8 外 部 移动 存储 ， 传 输 外 部 信息 进 内 网 的 风险 

IR1.1.2.9 外 部 信息 使 用 内 部 移动 介质 ， 没 有 进行 安全 检查 

移动 存储 介质 违 IR1.1.2.10 采用 控制 措施 后 ， 外 部 移动 介质 使 用 ， 没 有 报警 、 提 示 和 禁止 


IR1.1.2.11 新 增 内 网 使 用 的 移动 存储 介质 ， 管 理 流程 ， 无 法 确定 其 生命 周 
其 中 的 使 用 情况 
IR1.1.2.12 新 增 申请 流程 不 明确 ， 造 成 移动 介质 滥用 的 潜在 风险 
安全 | 信息 扩散 风险 IR1.1.2.13 ”新 增设 备 ， 授 权 过 程 不 明确 ， 造 成 新 设备 无 法 识别 
六 (IR1.1) IR1.1.2.14 ”缺少 记录 移动 存储 介质 的 申请 -审批 -授权 的 全 过 程 〈 包 括 授权 


人 ， 授 权 使 用 范围 ， 被 授权 人 以 及 授权 清除 等 记录 ) 
IR1.1.2.15 有关 移 动 存储 介质 申请 -审批 -授权 审计 人 信息， 缺少 安全 措施 ， 
造成 自 改 和 探 除 


IR1.1.3.4 重要 文件 的 读 、 写 、 修 改 、 传 输 等 过 程 中 出 现 信息 泄漏 的 风险 

(IR1.1.3) IR1.1.3.5 ”外 来 的 重要 文件 进入 内 网 ， 使 其 满足 本 地 使 用 要 求 ， 过 程 中 导 

致 信息 泄漏 的 风险 

IR1.1.4.1 没有 监控 终端 随意 设置 共享 

IR1.1.4.2 ”没有 对 终端 共享 情况 进行 审 
IR1.1.4.3 不 能 及 时 关闭 共享 


IR1.1.5.3 ”重要 应 用 系统 截屏 ， 造 成 信息 泄漏 


基于 技术 平台 由 人 工 协助 处 理 类 是 指 终端 安全 风险 的 发 现 和 管控 是 基于 技术 平台 ， 在 人 
工 协助 下 进行 的 。 这 种 方式 包括 半 目 动 和 半 人 工 两 类 。 

1) 目 动 发 现 ， 人 工 协 助 处 理 : 指 终端 安全 风险 是 自动 发 现 ， 由 平台 执行 防护 措施 ， 但 
征 否 执行 防护 措施 ， 或 执行 哪个 防护 措施 由 相关 系统 管理 员 依据 实际 情况 确定 。 基 于 技术 平 
台 发 现 这 类 风险 后 提示 系统 管理 人 员 或 终端 用 户 发 现 风 险 ， 并 给 出 备 选 防护 措施 ， 以 供 选 
择 。 基 于 操作 人 员 的 选择 ， 将 相关 执行 结果 信息 显示 给 系统 管理 人 员 或 终端 用 户 ， 系 统 自 行 
记录 以 备 日 后 审计 分 机 ， 有 基体 见 表 9-2。 


文件 的 情况 
计 


表 9-2 ”基于 技术 平台 由 人 工 协助 处 理 的 安全 风险 列表 _{ 自动 发 现 ， 人 工 协助 处 理 ) 


BR1.1.2.1 BIOS 密码 强度 设置 不 符合 要 求 
BIOS 弱 密 码 风险 BR1.1.2) BR1.1.2.5 BIOS 密码 强度 不 符合 要 求 ， 提 示 用 户 修改 ， 用 户 修 
改 后 自己 忘记 BIOS 密码 
BR1.1.3.5 终端 防 病毒 软件 程序 和 病毒 库 不 能 升级 到 最 新 状态 
基础 安 终端 自身 杀毒 软件 检查 风险 BR1.1.3.6 ”终端 防 病毒 程序 处 于 未 运行 状态 
全 风险 | 安全 风险 (BR1.1.3) BR1.1.3.7 终端 防 病毒 程序 处 于 未 运行 状态 后 不 能 启动 防 病毒 程序 
BL SBR BR1.1.3.8 ” 防 病毒 程序 处 于 未 运行 状态 ， 没 有 告警 信息 
ee BR1.1.5.5 不 能 对 终端 补丁 安装 前 进行 验证 
(BR1.1.6) BR1.1.6.7 分 发 的 应 用 软件 不 能 自动 安装 没有 告警 信息 
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( 续 ) 
终 ; ` 境 和 
终端 网 络 运行 环境 风险 BR1.2.1.6 ”终端 使 用 多 网 卡 后 ， 不 能 控制 哪 块 网 卡 的 禁用 或 者 
安全 风险 (BR1.2.1) 启用 
(BR1.2) 
外 设 设备 管理 (BR1.3.2) BR1.3.2.19 ”光盘 刻录 机 使 用 禁止 ， 导 致 光盘 只 读 应 用 受到 影响 
基础 安 级 ; + 监控 与 其 些 终端 的 习 
2 ee 终端 注册 表 风 险 (BR1.3.3) RR 对 终端 下 发 的 注册 表 监 控 策 略 与 菜 些 终 端的 注册 表 内 
(BR) 终端 外 设 
安全 风险 终端 系统 驱动 风险 BR1.3.4.15 下 发 策略 与 某 些 终端 冲突 
Ce (BR1.3.4) BR1.3.4.16 “下 发 策略 被 停止 或 被 删除 


终端 上 获取 的 其 言 息 不 完事 法 基线 
基本 配置 风险 (BR1.3.5) ee 从 终端 上 获取 的 基本 配置 信息 不 完整 ， 无 法 配置 基线 


RR1.1.1.9 不 能 自动 友 现 终端 设备 之 间 、 终 端 设备 与 关键 业务 资 
产 的 连接 关系 


网 络 设备 运行 风险 a 
人 RR1.1.1.10 没有 根据 发 现 的 连接 关系 自动 绘制 并 更 新 拓扑 图 
RR1.1.1.11 管理 平台 不 能 远程 监控 管理 全 部 网 络 设备 和 终端 
网 络 运行 RR1.1.2.4 ”没有 事先 对 实际 的 网 络 流量 按照 IP、 时 间 、 端 口 分 别 
安全 四 统计 得 出 流量 白 名 单 
(RR1.1) 终端 流量 异常 风险 RR1.1.2.5 ”没有 事先 对 实际 的 网 络 流量 按照 IP、 时 间 、 端 口 分 别 
(RR1.1.2) 统计 得 出 连接 白 名 单 
RR1.1.2.12 ”发 现 终端 的 P2P 下 载 行为 但 是 不 能 控制 
人 RR1.1.3.9 策略 失效 禁用 或 被 印 载 


(RR1.1.3) 


RR1.2.1.10 BE A ds 
RR1.2.1.14” 白 名 单 进程 / 服 务 运 行 不 完整 ， 没 有 通过 策略 启用 进 


进程 /服务 运行 的 风险 程 /服务 _ _ 
(RR1.2.1) RR1.2.1.16。” 白 名 单机 制 不 完整 


RR1.2.1.17” 白 名 单机 制 不 完整 ， 相 应 的 策略 内 容 不 完整 
RR1.2.1.19 ” 黑 名 单 进程 /服务 运行 ， 导 致 CPU 占用 率 持 续 高 


终端 安 RR1.2.2.7 ”违规 软件 列表 不 完整 

人 关上 师 

违规 软件 安装 风险 RR1.2.2.8 ”违规 软件 列表 不 完整 ， 相 应 的 策略 内 容 不 完整 
风险 RR1.2.2 以 岳 安 站 3 

RR) | 终端 运行 ( ) RR1.2.2.16 ”必须 安装 软件 列表 不 完整 


安全 
(RR1.2) 


RR1.2.2.17 ”必须 安装 软件 列表 不 完整 ， 相 应 的 策略 内 容 不 完整 


RR1.2.3.13” 当 终端 CPU 使 用 率 持 续 过 高 时 ， 将 CPU 占用 率 高 
的 进程 信息 上 报 管理 员 ， 管 理 员 禁止 了 该 进程 ， 但 该 进程 不 应 禁 


RR1.2.3.17 ”对 终端 的 CPU 使 用 率 进行 了 监控 ， 但 由 于 终端 操作 
异常 资源 占用 风险 系统 的 问题 ， 获 取 的 CPU 使 用 率 信息 不 准确 


天 吊 珊 
(RR1.2.3) RR1.2.3.18 ”对 终端 的 内 存 用 率 进行 了 监控 ， 但 由 于 终端 操作 系 
统 的 问题 ， 获 取 的 内 存 使 用 率 信息 不 准确 


RR1.2.3.19 ”对 终端 0 日 由 于 操作 系统 的 
问题 ， 获 取 的 磁盘 剩余 空间 信息 不 准确 


操作 系统 用 户 管理 风险 RR1.2.4.20 ”对 操作 系统 用 户 和 用 户 组 信息 进行 检测 ， 由 于 操作 
(RR1.2.4) 系统 的 问题 ， 获 取 的 用 户 信 息 不 准确 ， 无 法 进行 相应 的 用 户 控 制 


RR1.3.1.3 ”登录 终端 用 户 没 有 合法 登记 的 违规 内 联 
RR1.3.1.11 产生 违规 内 联 后 ， 不 能 识别 终端 身份 信息 


RR1.3.1.27 ”授权 终端 ， 开 启 未 经 系统 管理 员 人 允许 的 服务 端 服务 
(DHCP、 代 理 ) 


RR1.3.2.7 ”发生 违规 外 联 奸 
的 途径 


违规 内 联 (RR1.3.1) 


网 络 边 界 


风险 
(RR1.3) 


件 时 ， 不 能 发 现 并 准确 定位 违规 外 联 


at 


二 


违规 外 联 (RR1.3.2) 
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风 险 点 


RR1.3.2.8 ”发 现 违规 外 联 的 状态 时 ， 无 法 界定 内 外 网 互联 和 离线 
上 网 的 不 同情 况 
RR1.3.2.9 不 能 对 终端 违规 接 入 其 他 网 络 〈 非 互联 网 ) 进行 检测 


网 络 边界 违规 外 联 (RR1.3.2) RR1.3.2.10 不 能 对 终端 违规 接 入 其 他 网 络 〈 非 互联 网 ) 进行 阻 断 
风险 RR1.3.2.11 不 能 对 终端 违规 接 入 其 他 网 络 ( 非 互联 网 ) 进行 审 
(RR1.3) 计 记 录 和 告警 

RR1.3.2.12 不 能 对 违规 外 联 的 行为 准确 取证 
RR1.3.3.6 ”在 所 有 服务 器 均 启用 802.1X 认证 的 情况 下 ， 终 端 在 


(RRI3) 漫游 状态 时 ， 不 能 静默 通过 802.1X 认证 和 接 入 网 络 
IR1.1.1.5 不 限定 终端 只 能 在 指定 的 打印 机 上 打印 文件 
计 息 传输 的 风险 IR1.1.1) - 本 二 
IR1.1.1.9 存在 国家 秘密 文件 的 终端 未 按 提示 删除 相应 涉 密 文 件 
IR1.1.3.1 重要 文档 没有 加 密 存 储 
言 思 文档 保护 GR1.1.3) IR1.1.3.3 ”存储 重要 文件 的 终端 安全 防护 措施 不 达标 ， 造 成 文件 
泄密 


2) 人 工 发 现 ， 平 台 协 助 处 理 : 指 终端 安全 管理 人 员 基 于 技术 文 撑 平 台所 提供 的 监控 信 


-~ 


恩 分 析 发 现 终端 安全 风险 ， 并 依赖 或 部 分 依赖 拉 术 平台 来 执行 防护 措施 ， 其 体 见 表 9-3。 


表 9-3 基于 技术 平台 由 人 工 协 助 处 理 的 安全 风险 列表 _ 2 人工 发 现 ， 平 台 协 助 处 理 ) 


风险 大 类 风险 子 类 风险 点 


终端 自 喘 安 | 终端 应 用 软件 


> 


车 


全 风险 风险 BR1.1.4.1 不 能 统计 终端 安装 应 用 软件 的 情况 统计 
(BR1.1) (BR1.1.4) 
终端 环境 安 Se 
全 风险 "0 BR1.2.2.7 ”终端 防火 墙 程序 处 于 未 运行 状态 后 不 能 启动 防火 墙 程序 
(BR1.2) 
基础 安全 BR1.3.2.14 ”光盘 驱动 器 使 用 禁止 ， 导 致 虚拟 光驱 无 法 使 用 
多 险 (BR 0 
风险 (BR) BR1.3.2.23 ”照相 机 /MP3/ 智 能 手机 类 设备 禁用 ， 导 致 无 线 鼠 标 受到 影响 
外 设 设备 管理 BR1.3.2.24 ”照相 机 /MP3/ 智 能 手机 类 设备 禁用 ， 导 致 USB 电源 类 设备 
人 (BR1.32) 无 法 提供 电源 
BR1.3.2.28 3G 手机 禁用 ， 导 致 手机 充电 功能 受到 影响 
BR1.3.2.47 ”传真 功能 禁用 ， 导 致 网 络 业 务 受 到 影响 
RR1.1.1.6 ”没有 对 在 用 网 络 设 备 的 规定 使 用 周期 进行 追溯 
网 络 运 行 安 网 络 设备 运行 风险 RR1.1.1.7 没有 对 网 络 运 行 环 境 ， 网 络 运行 拓扑 等 基础 信息 做 详细 的 
全 (RR1.1) (RR1.1.1) 调查 了 解 ， 或 者 没有 及 时 更 新 
RR1.1.1.12 ”管理 平台 事件 记录 不 全 ， 导 致 某 些 事件 后 续 无 法 追溯 
终端 安全 RR1.2.1.7 黑 名 单机 制 不 完整 
0 终端 运行 安 | 进程 /服务 运行 的 风 RR1.2.1.8 ” 黑 名 单机 制 不 完整 ， 相 应 的 策略 内 容 不 完整 
全 Sa \ 二 人 /二 全 S 生 
直人 险 人 RR12.1) RR1.2.1.9 ， 黑 名 单 进程 /服务 运行 ， 不 能 用 已 有 的 黑 名 单机 制 来 检测 ， 
导致 黑 名 单 进 程 /服务 不 能 检测 


网 络 边界 风 RR1.3.1.4 ”终端 身份 标识 符 被 算 改 、 冒 用 的 风险 

Gp) ， 、 

险 (RR13) | 违规 内 联 RR13.) RR1.3.1.5 “终端 身份 标识 符 被 冒 用 ， 在 应 用 控制 措施 之 后 ， 可 能 导致 
原来 的 合法 终端 的 身份 标识 因 无 法 识别 而 无 法 使 用 网 络 
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全 人 工 处 理 是 指 完全 依赖 终端 安全 管理 人 员 发 现 和 处 理 ， 具 体 见 表 9-4。 


风险 大 类 


基础 安全 
风险 (BR) 


终端 安全 
运行 风险 
(RR) 


信息 安全 


风险 (IR) 


终端 自身 安全 
风险 (BR1.1) 


终端 环境 安全 
风险 (BR1.2) 


终端 外 设 安全 
风险 (BR1.3) 


网 络 运 行 安全 
(RR1.1) 


言 息 扩散 风险 
(R1.1) 


表 9-4 全 人 工 处 理 类 终端 安全 风险 列表 


风险 子 类 风 险 点 
BR1.1.1.17 因 工 作 或 维修 需要 ， 终 端 用 户 将 密码 告知 他 人 


密码 口令 风险 


(BR1.1.1) BR1.1.1.18 因 工 作 或 维修 需要 ， 终 端 用 户 将 密码 告知 他 人 。 在 相关 


工作 完成 后 未 及 时 修改 密码 


BIOS 弱 密 码 风险 BR1.1.2.11 采取 技术 措施 获取 终端 的 BIOS 强度 情况 ， 但 不 同 广 商 


(BR1.12) 主板 不 尽 相 同 ， 获 取 的 BIOS 强度 情况 不 精确 
BR1.1.3.4 终端 安装 防 病毒 软件 后 ， 和 系统 冲突 


杀毒 软件 检查 风 
险 (BR1.1.3) 


BR1.1.3.10 ”终端 杀毒 软件 不 能 查 杀 病毒 


弘 喘 系统 补丁 及 a :系统 骨 溃 不 能 进行 补丁 回 j 
补 ] 风 | BR1.1.5.6 安装 补丁 后 引发 系统 骨 溃 不 能 进行 补丁 回 退 
份 (BR1.1.5) 


终端 防火 墙 风 险 au 人 > Ez 
| BR1224 终端 安装 防火 墙 软件 后 ， 和 系统 冲突 


BR1.3.2.32 ”蓝牙 网 络 禁用 ， 导 致 办 公 辅 助 设 备 无 法 使 用 
BR1.3.2.36 ”红外 连接 禁用 ， 导 致 办 公 辅 助 设备 无 法 使 用 
5 携 式 线 网 卡 禁 用 ， 上 4 络 无 法 j 
外 设 设备 管理 BR1.3.2.40 ”便携式 WIFI 和 无 线 网 用 ， 导 致 网 络 无 法 连接 
(BR1.3.2) BR1.3.2.43 ”打印 机 禁用 ， 导 致 文档 镜像 输出 受到 影响 
BR1.3.2.44 复印 机 随意 使 用 


到 影响 
RR1.1.1.1 温度 、 湿 度 等 环境 因素 导致 网 络 设备 运行 风险 
RR1.1.1.2 设备 老化 导致 网 络 设备 运行 风险 
RR1.1.1.5 ”不 能 及 时 获取 温度 、 湿 度 等 环境 因素 


RR1.1.2.9 下 发 策略 与 某 些 业务 冲突 


网 络 设备 运行 风 
险 (RR1.1.1) 


终端 流量 异常 风 
险 (RR1.1.2) 


BR1.3.2.13 ”光盘 驱动 器 使 用 禁止 ， 导 致 U 稻 移 动 存储 介质 无 法 使 用 


BR1.1.3.9 管理 员 不 能 远程 调用 其 杀毒 软件 对 发 现 的 病毒 进行 杀毒 


BR1.3.2.32 ”投影 仪 /电视 机 /电子 显示 屏 功 能 禁用 ， 导 致 显示 器 识别 异常 
BR1.3.2.53 ”投影 仪 /电视 机 /电子 显示 屏 功 能 禁用 ， 导 致 工作 应 用 受 


IP/MAC 地 址 算 改 RR1.1.4.9 终端 的 IP/MAC 地 址 绑 定 模块 加 载 后 与 某 些 程序 和 应 用 


风险 (RR1.1.4) 冲突 

IR1.1.5.1 不 能 禁止 用 户 携带 照相 设备 

IR1.1.5.2 不 能 禁止 用 户 对 终端 显示 信息 进行 记录 

守 息 的 非 技术 IR1.1.5.4 ”屏幕 电磁 泄漏 ， 造 成 信息 泄漏 

漏 (CR1.1.5) IR1.1.5.5 采用 信号 干扰 措施 ， 造 成 正常 的 无 线 通信 故障 
IR1.1.5.6 ”物理 线路 上 的 电磁 窃听 ， 造 成 信息 泄漏 


IR1.1.6.1 关机 状态 下 ， 拆 除 人 硬盘 
人 为 灾害 (IR1.1.6) IR1.1.6.2 ”人 为 造成 的 设备 损坏 ， 如 溧水 、 明 火 、 太 人 碰 等 
IR1.1.6.3 ”人 为 造成 设备 盗窃 、 技 失 


IR1.1.5.7 采用 视频 监控 ， 仍 存在 死角 ， 不 可 避免 非 技术 类 的 信息 训 


[< 


届 
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重要 风险 监控 


安全 风险 根据 其 对 业务 系统 、 商 业 利益 、 公 司 声誉 与 社会 影响 、 法 律 法 规 符 合 度 等 造成 
的 影响 和 损失 ， 一 般 分 为 高 、 中 、 低 三 个 级 别 。 1 
全 风险 ， 评 佑 安全 风险 ， 啊 应 安全 风险 ， 以 期 降低 或 规避 风险 ， 并 基于 风险 管理 工作 实践 改 
进 安全 防护 系统 。 

信息 安全 风险 管理 过 程 中 根据 不 同 的 安全 风险 事件 的 等 级 采用 不 同 的 方式 进行 告警 ， 对 
事件 处 理 和 事件 沟通 的 过 程 和 规程 作 详细 说 明 。 由 于 目前 无 论 是 IDS， 还 是 其 他 安全 监测 设 
备 ， 都 存在 误 报 现象 ， 终 端 安全 相关 的 防护 和 管理 系统 也 不 例外 ， 对 于 纷繁 复杂 的 安全 告 
警 ， 管 理 人 员 不 可 能 对 每 一 条 安全 风险 和 事件 都 要 关注 ， 只 有 关注 高 级 别 的 安全 风险 。 这 样 
才能 在 有 限 的 资源 下 最 大 可 能 地 保障 被 保护 对 象 的 安全 。 

因此 ， 终 端 安全 管理 人 员 要 依托 相关 的 技术 手段 和 支撑 平台 对 终端 系统 的 异常 现象 进行 
检测 ， 该 技术 平台 一 旦 检测 到 高 级 风险 事件 ， 要 做 到 实时 告警 提示 使 用 和 管理 人 员 ， 要 有 邮 
件 、 短 信 等 及 时 有 效 的 方式 及 时 通知 到 安全 管理 员 ， 并 能 实时 展现 本 地 范围 和 管辖 范围 的 高 
级 别 的 安全 风险 及 事件 ， 并 以 弹出 窗口 的 方式 显示 详细 信息 内 容 和 解决 建议 。 管 理 员 可 以 通 
过 评估 检查 确认 该 风险 的 真实 性 。 如 果 确 实 属于 确定 的 安全 事件 ， 启 动 应 急 预 案 ， 对 该 风险 
做 出 响应 ， 并 对 处 理 结果 跟踪 ， 事 后 根据 处 理 结果 和 分 析 形 成 知识 经 验方 案 ， 添 加 经 验 库 ， 
以 文 持 后 续 工 作 。 

日 利 运 维 中 需要 关注 的 重要 风险 主要 包括 信息 安全 类 风险 、 引 起 大 面积 终端 无 法 正 季 使 
用 的 风险 。 

有 基体 参见 表 10-1。 


表 10-1 重要 风险 列表 
风险 


光 风险 类 风险 子 类 风 险 点 
大 类 
BR1.1.1.1 密码 复杂 性 不 符合 要 求 
BR1.1.1.2 ”密码 复杂 性 不 符合 要 求 的 ， 没 有 提示 终端 用 户 修 改 
& BR1.1.1.3 ”密码 复杂 性 不 符合 要 求 的 ， 审 计 信 息 没 有 上 报 管理 员 
基 有 看 1 密码 a 、 二 
安全 BR1.1.1.4 用 户 并 未 按照 密码 复杂 性 不 符合 要 求 的 提示 信息 进行 修改 
风险 风险 风险 BR1.1.1.5 ”密码 最 小 长 度 不 符合 要 求 
(BR) (BR1.1.1) - 一 一 - 
: BR1.1.1.6 密码 最 小 长 度 不 符合 要 求 的 ， 没 有 提示 终端 用 户 修改 


BR1.1.1.7 ”密码 最 小 长 度 不 符合 要 求 的 ， 审 计 信息 没有 上 报 管理 员 
BR1.1.1.8 用 户 并 未 按照 密码 最 小 长 度 不 符合 要 求 提 示 信 息 进 行 修改 
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风 险 点 
密码 最 长 存留 周期 不 符合 要 求 
密码 最 长 存留 周期 不 符合 要 求 的 ， 没 有 提示 终端 用 户 修改 
密码 最 长 存留 周期 不 符合 要 求 的 ， 审 计 信息 没有 上 报 管理 员 
用 户 并 未 按照 密码 最 长 存留 周期 要 求 提示 信息 进行 修改 
终端 未 设置 屏保 、 屏 保密 码 
终端 未 设置 屏保 、 屏 保密 码 的 信息 未 提示 终端 用 户 进行 修改 
终端 未 设置 屏保 、 屏 保密 码 的 审计 信息 未 上 报 管理 员 
用 户 并 未 按照 提示 对 终端 设置 屏保 和 屏保 密码 
因 工 作 或 维修 需要 ， j 户 将 密码 告知 他 人 


BR1.1.1.18 因 工 作 或 维修 需 端 用 户 将 密码 告知 他 人 。 在 相关 工作 完成 
后 未 及 时 修改 密码 


BR1.1.2.1 BIOS 密码 强度 设置 不 符合 要 求 

BR1.1.2.2 ”BIOS 密码 强度 不 符合 要 求 的 ， 没 有 提示 终端 用 户 修 改 

BIOS 密码 强度 不 符合 要 求 的 ， 审 计 信息 没有 上 报 管理 员 

BIOS 密码 强度 不 符合 要 求 ， 没 有 产生 告警 信息 

BIOS 密码 强度 不 符合 要 求 ， 提 示 用 户 修改 ， 用 户 修改 后 自己 忘记 


BR1.1.1.9 


BR1.1.1.10 


BR1.1.1.11 


BR1.1.1.12 


BR1.1.1.13 


BR1.1.1.14 


BR1.1.1.15 


BR1.1.1.16 


BR1.1.1.17 终端 


x 
弄 
出 
从 


BR1.1.2.3 


BR1.1.2.4 


BR1.1.2.5 
BIOS 密码 
BR1.1.2.6 


BIOS 
弱 密 码 
风险 
(BR1.1.2) 


BIOS 密码 设置 为 空 

BIOS 密码 设置 为 空 没有 提示 终端 用 户 

BIOS 密码 设置 为 空 没有 产生 告警 信息 
BR1.1.2.9 BIOS 密码 设置 为 空 ， 审 计 信 息 没 有 上 报 管理 员 


BR1.1.2.10 BIOS 密码 设置 为 室 ， 提 示 终 端 用 户 修 改 ， 用 户 修 改 后 自己 忘记 
BIOS 密码 


BR1.1.2.7 


BR1.1.2.8 


BR1.1.2.11 采取 技术 措施 获取 终端 的 BIOS 强度 情况 ， 但 不 同 广 商 主板 不 尽 
相同 ， 获 取 的 BIOS 强度 情况 不 精确 


BR1.1.3.10 ”终端 杀毒 软件 不 能 查 杀 病 毒 


BR1.1.6.8 ”不 能 对 分 发 的 软件 分 发 成 功 数 、 分 发 成 功率 、 安 装 成 功 数 、 安 装 成 
功率 等 信息 进行 统计 
BR1.2.1.7 终端 IP/MAC 地 址 绑 定 后 ， 不 能 发 现 终端 克隆 其 他 卫 、MAC 地 址 


BR1.2.2.4 终端 安装 防火 墙 软件 后 ， 和 系统 冲突 


BR1.3.2.1 TU 盘 / 移 动 存储 卡 使 用 ， 没 有 提示 终端 用 户 
BR1.3.2.2 TU 盘 / 移 动 存储 卡 使 用 ， 审 计 信 息 没 有 上 报 管理 员 
BR1.3.2.3 TU 盘 / 移 动 存储 卡 使 用 ， 没 有 产生 告警 
BR1.3.2.4 ”移动 硬盘 使 用 ， 没 有 提示 终端 用 户 

外 设 设备 BR1.3.2.5 ”移动 硬盘 使 用 ， 审 计 信息 没有 上 报 管理 员 

管理 BR1.3.2.6 ”移动 硬盘 使 用 ， 没 有 产生 告警 

C9 BR1.3.2.7 软盘 使 用 ， 没 有 提示 终端 用 户 
BR1.3.2.8 ”软盘 使 用 ， 审 计 信息 没有 上 报 管理 员 
BR1.3.2.9 软盘 使 用 ， 没 有 产生 告警 
BR1.3.2.10 光盘 驱动 器 使 用 ， 没 有 提示 终端 用 户 
BR1.3.2.11 光盘 驱动 器 使 用 ， 审 计 信息 没有 上 报 管理 员 
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BR1.3.2.12 
BR1.3.2.15 
BR1.3.2.16 
BR1.3.2.17 
BR1.3.2.18 
BR1.3.2.19 
BR1.3.2.20 
BR1.3.2.21 
BR1.3.2.22 
BR1.3.2.25 
BR1.3.2.26 
BR1.3.2.27 
BR1.3.2.29 
BR1.3.2.30 


外 设 设备 BR1.3.2.31 
管理 

(BR1.3.2) BR1.3.2.33 

BR1.3.2.34 


BR1.3.2.35 


BR1.3.2.37 


BR1.3.2.38 
BR1.3.2.39 


风 险 


光盘 驱动 器 


]， 没 有 产 4 


AAA 


上 十 
告警 


I 录 机 


< 终端 用 户 


1 录 机 俐 


| 录 机 
I 录 机 


使 
使 用 ， 没 有 提示 
使 用 ， 审 计 信 息 没 有 上 报 管理 员 


FF 生 区 作 


使 用 ， 没 有 产 


广 万 吾 


刻录 光盘 内 容 没 有 上 报 管理 员 


洲 
衣 
Wy 


记录 机 


使 用 禁止 ， 导 致 光盘 只 读 应 用 受到 影响 
照相 机 /MP3/ 智 能 手机 类 设备 使 用 ， 没 有 提示 终端 用 户 


归 
照相 机 /MP3/ 智 能 手机 类 设 
照相 机 /MP3/ 智 能 手机 类 设 


3G 手机 使 


]， 没 有 提示 终 


备 使 用 ， 审 计 信息 没有 上 报 管理 员 


备 使 用 ， 没 有 产生 告警 
端 用 户 


j， 审 计 信息 没 


j， 没 有 告警 


有 上 报 管理 员 


没有 提示 终端 用 


红外 
红外 


审计 信息 没有 上 报 管 理 员 


没有 告警 


没有 提示 终端 用 


使 用 ， 
使 用 ， 没 有 告警 

便携 式 WIFI 和 无 线 网 - 
便携 式 WIFI 和 无 线 网 - 
便携 式 WIFI 和 无 线 网 - 


审计 信息 没有 上 报 管 理 员 


FEF 使 用 ， 没 有 提示 终端 用 户 
FE 使 用 ， 审 计 信 息 没 有 上 报 管理 
FE 使 用 ， 没 有 告警 
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BR1.3.2.41 打印 机 使 用 ， 审 计 信 息 没 有 上 报 管理 员 

BR1.3.2.42 ”打印 机 使 用 ， 没 有 告警 

BR1.3.2.44 复印 机 随意 使 用 

BR1.3.2.45 ”传真 机 使 用 ， 审 计 信 息 没 有 上 报 管理 

BR1.3.2.46 ”传真 机 使 用 ， 没 有 告警 

BR1.3.2.48 ”未 经 过 准 入 控制 的 终端 使 用 打印 机 

BR1.3.2.49 ”投影 仪 /电视 机 /电子 显示 屏 功 能 使 用 ， 审 计 信 息 没 有 上 报 管理 员 

BR1.3.2.50 “投影 仪 /电视 机 /电子 显示 屏 功 能 使 用 ， 没 有 告警 

BR1.3.2.51 ”投影 仪 /电视 机 /电子 显示 屏 功 能 使 用 ， 没 有 提示 终端 用 户 

BR1.3.3.8 ”对 终端 下 发 的 注册 表 监 控 策略 与 某 些 终端 的 注册 表 内 容 冲突 

BR1.3.4.15 下 发 策略 与 某 些 终端 冲突 

BR1.3.4.16 下 发 策略 被 停止 或 被 删除 

BR1.3.5.1 通过 安全 配置 中 心 给 终端 下 发 了 基本 配置 策略 ， 终 端 修改 了 基本 
配置 

BR1.3.5.2 ”终端 修改 了 基本 配置 ， 没 有 提示 终端 用 户 

BR1.3.5.3 ”终端 修改 了 基本 配置 ， 审 计 信 息 没 有 上 报 管理 员 

BR1.3.5.4 终端 修改 了 基本 配置 ， 没 有 产生 告警 

BR1.3.5.5 ”安全 配置 中 心 给 终端 下 发 的 基本 配置 策略 没有 及 时 更 新 

BR1.3.5.6 ”从 终端 上 获取 的 基本 配置 信息 不 完整 ， 无 法 配置 基线 比较 


河 


(BR1.3.5) 
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( 续 ) 
了 | 风险 类 | 风险 子 关 风 险 点 
大 类 站 
浊 应 导致 网 络 设备 运行 风险 
网 络 设备 运行 风 RR1.1.1.1 温度 、 湿 度 等 环境 因素 导致 网 络 设备 运行 风险 
险 RR1.1.1.2 ”设备 老化 导致 网 络 设备 运行 风险 
人 RR1.1.1.5 不 能 及 时 获取 温度 、 湿 度 等 环境 因素 
RR1.1.2.9 下 发 策略 与 革 些 业务 冲突 
RR1.1.3.10 ”管理 平台 不 能 及 时 发 现 所 有 的 上 述 违规 的 终端 网 络 访问 行为 
2 (RR1.1.3) RR1.1.3.11 管理 平台 发 现 了 上 述 违规 的 终端 网 络 访问 行为 ， 但 是 不 能 对 所 有 
2 的 违规 及 时 告警 或 处 理 
运行 人 
风险 IP/MAC et RR1.1.4.1 没有 记录 所 有 网 卡 的 MAC 地 址 和 对 应 的 了 P 地 址 
以 
(RR) RR1.1.4.9 终端 的 IP/MAC 地 址 绑 定 模块 加 载 后 与 某 些 程序 和 应 用 冲突 
进程 /服务 运行 的 
风险 RR1.2.1.1 黑 名 单 进程 /服务 运行 
(RR1.2.1) 
RR1.2.2.18 ”必须 安装 软件 的 检测 ， 不 能 用 已 有 的 必须 安装 软件 列表 来 检测 ， 
: Mw 导致 必须 安装 的 软件 检测 无 法 进行 
(RR1.3) RR1.3.2.6 ”终端 离 网 状态 下 不 能 进行 阻 断 ， 产 生 信息 外 泄 
IR1.1.1.1 不 能 对 发 送 邮 件 行为 进行 控制 
IR1.1.1.2 不 能 对 发 送 邮 件 行为 进行 审计 
IR1.1.1.3 邮件 发 送行 为 的 控制 导致 某 些 内 容 不 违规 邮件 无 法 发 送 
IR1.1.1.4 不 能 对 打印 管理 
言 息 传 输 的 风险 IR1.1.1.5 不 限定 终端 只 能 在 指定 的 打印 机 上 打印 文件 
(IR1.1.1) IR1.1.1.6 不 审计 终端 的 打印 行为 (包括 终端 属性 、 打 印 时 间 、 打 印 文件 、 份 
数 、 打 印 机 等 ) 
IR1.1.1.7 终端 通过 传输 文件 带 来 的 安全 风险 
IR1.1.1.8 ”终端 (包括 移动 存储 设备 ) 上 存在 国家 秘密 级 或 以 上 密级 的 文件 的 
安全 风险 
IR1.1.1.9 ”存在 国家 秘密 文件 的 终端 未 按 提示 删除 相应 涉 密 文 件 
IR1.1.2.1 移动 存储 介质 没有 进行 资产 登记 管理 对 移动 存储 介质 缺乏 管理 
IR1.1.2.2 TU 盘 没 有 进行 单独 注册 和 授权 
IR1.1.2.3 ”移动 存储 介质 没有 进行 安全 等 级 划分 
安 
风险 了 及 1.1.2.4 光盘 介质 使 用 没有 进行 禁止 、 限 制 范 围 的 管理 
(IR) IR1.1.2.5 移动 存储 介质 格式 化 ， 授 权 信 息 被 更 改 
IR1.1.2.6 ”移动 存储 介质 被 重新 分 区 ， 授 权 信 息 被 更 改 
IR1.1.2.7 移动 存储 介质 授权 信息 被 更 改 ， 没 有 报警 提示 和 禁止 
移动 存储 介质 IR1.1.2.8 ”外 部 移动 存储 ， 传 输 外 部 信息 进 内 网 的 风险 
RT 2 | R112.9 外 部 信息 使 用 内 部 移动 介质 ， 没 有 进行 安全 检查 
IR1.1.2.10 采用 控制 措施 后 ， 外 部 移动 介质 使 用 ， 没 有 报警 、 提 示 和 禁止 
IR1.1.2.11 新 增 内 网 使 用 的 移动 存储 介质 ， 管 理 流程 ， 无 法 确定 其 生命 周期 中 
的 使 用 情况 
IR1.1.2.12 ”新 增 申 请 流程 不 明确 ， 造 成 移动 介质 小 用 的 潜在 风险 
IR1.1.2.13 ”新 增设 备 ， 授 权 过 程 不 明确 ， 造 成 新 设备 无 法 识别 
IR1.1.2.14 ”缺少 记录 移动 存储 介质 的 申请 -审批 -授权 的 全 过 程 〈 包 括 授 权 人 ， 
授权 使 用 范围 ， 被 授权 人 以 及 授权 清除 等 记录 ) 
IR1.1.2.15 有关 移动 存储 介质 申请 -审批 -授权 审计 信息 ， 缺 少 安全 措施 ， 造 成 
算 改 和 擦 除 
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风 险 点 


IR1.1.3.1 要 文档 没有 加 密 存 储 
信息 文档 保护 IR1.1.3.3 ”存储 重要 文件 的 终端 安全 防护 措施 不 达标 ， 造 成 文件 泄密 
IR1.1.3.4 重要 文件 的 读 、 写 、 修 改 、 传 输 等 过 程 中 出 现 信息 泄漏 的 风险 


IR1.1.3.5 外 来 的 重要 文件 进入 内 网 ， 使 其 满足 本 地 使 用 要 求 ， 过 程 中 导致 信 
息 泄漏 的 风险 


IR1.1.4.1 没有 监控 终端 随意 设置 
IR1.1.4.2 ”没有 对 终端 共享 情况 进 
IR1.1.4.3 ”不 能 及 时 关闭 共享 


(IR1.1.3) 


享 文件 的 情况 


言 息 ER 

二 二 IR1.1.5.1 不 能 禁止 用 户 携带 照相 设备 

风险 IR1.1.5.2 不 能 禁止 用 户 对 终端 显示 信息 进行 记录 
IR i OT 

Uy IR1.1.5.3 ”重要 应 用 系统 截屏 ， 造 成 信息 泄漏 


言 息 的 非 技 术 洪 
漏 IR1.1.$.4， 屏幕 电磁 油 漏 ， 造 成 信息 泄漏 


CHE IR1.1.5.5 采用 信号 干扰 措施 ， 造 成 正常 的 无 线 通信 故障 

IR1.1.5.6 ”物理 线路 上 的 电磁 窃听 ， 造 成 信息 泄漏 

IR1.1.5.7 采用 视频 监控 ， 仍 存在 死角 ， 不 可 避免 非 技 术 类 的 信息 泄密 
IR1.1.6.1 关机 状态 下 ， 拆 除 人 硬盘 
IR1.1.6.2 ”人 为 造成 的 设备 损坏 ， 如 淋 水 、 明 火 、 厂 碰 等 
IR1.1.6.3 ”人 为 造成 设备 盗窃、 丢失 


Eo 运 维 全 过 程 管理 


为 了 实现 终端 安全 从 零散 绾 理 到 整体 保障 的 转变 ， 一 定 要 解决 管理 信息 化 问题 ， 依 托 终 
端 安全 防护 和 管理 技术 平台 ， 支 撑 终 端 安全 管理 运 维 流程 和 管理 制度 的 执行 ， 实 现 运 维 工作 
全 过 程 的 管理 。 

根据 信息 安全 管理 体系 要 求 ， 建 六 《终端 安全 管理 日 常 运 维 管理 办 法 》， 基 于 该 办 法 设 
计 《 终 端 安全 日 常 运 维 流程 》， 并 在 技术 平台 中 为 其 提供 文 撑 ， 实 现 人 、 操 作 、 技 术 的 有 效 
结合 ， 见 表 10-2。 


De 


人 为 灾害 
(IR1.1.6) 


工作 
类 别 
FE 时 间 从 事 与 工 作 无 关 的 其 他 事情 
Ei 乍 终端 安全 监控 终端 上 安装 、 下 载 与 工作 无 关 的 各 种 软件 
党 寺 
作 管 理 秆 时 检查 工作 相关 信箱 


寺 更 新 相关 人 员 的 接口 通信 短 


蔡 止 私自 拆 装 、 更 换 运 营 中 心 内 机 器 配 件 BE 脑 主 机 均 应 有 易 破损 标签 
保护 
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对 于 参观 视察 人 员 ， 由 值班 人 员 填 写 《 监 控 机 房 出 入 记录 单 》 等 
机 房 出 现 失 火 、 停 电 或 其 他 意外 情况 ， 及 时 按 重大 故障 处 理 流 程 进行 处 理 
迅速 与 相关 部 门 及 人 员 通 报 、 联 系 
终端 安全 运 维 人 员 上 班 下 班 时 必须 签到 ， 如 无 故 不 签到 或 找 人 代 签 到 ， 则 均 视 
为 迟到 并 按 行政 管理 制度 进行 处 理 
工作 期 间 禁 止 因 私 外 出 ， 如 发 现 均 视 为 早退 并 按 行政 管理 制度 进行 处 理 
如 需 请 假 ， 需 至 少 提前 一 天 申请 ， 并 告知 相关 人 员 进行 记录 ， 如 因 临 时 事件 请 
假 ， 则 需 在 9 点 前 电话 或 短信 请 假 
终端 安全 管理 人 员 应 按 规定 时 间 上 下 班 ， 未 经 批准 不 得 调换 班次 和 离开 岗位 ， 
接班 人 员 未 到 交 班 人 员 不 得 离 岗 
值班 时 ， 不 得 做 与 工作 无 关 的 事 
值班 期 间 须 在 系统 中 详细 准确 地 记录 值班 工作 情况 
交 班 人 员 应 提前 作 好 交 班 准备 ， 填 好 交接 班 记录 
交接 班 应 做 到 手续 清楚 ， 责 任 明确 ， 上 下 衔接 。 值 班期 间 的 事件 处 理 、 问 题 发 
现 、 事 件 通知 及 未 了 事宜 等 ， 均 应 写 入 值班 记录 表 并 交接 清楚 
交接 班 时 ， 如 发 生 严 重 事故 或 网 络 中 断 时 ， 交 班 人 员 应 在 保证 接 玉 
楚 事 件 的 全 部 过 程 、 后 续 工 作 情 况 下 ， 方 可 以 交接 下 班 ， 接 班 人 员 在 未 了 解 
的 过 程 、 进 展 情况 、 后 续 的 工作 情况 下 有 权 拒 绝 进行 交接 
因 漏 交 或 错 交 而 产生 的 问题 责任 由 交 班 人 承担 ， 由 漏 接 或 错 接 而 产生 的 
于 由 接班 人 承担 ， 交 接班 双方 均 未 发 现 的 问题 责任 则 应 由 双方 承担 
终端 安全 管理 值班 人 员工 作 流程: 
1) 登录 技术 支撑 平台 
2) 进入 内 部 工 单 系统 ， 查 看 并 处 理工 单 
3) 登录 终端 安全 管理 系统 监视 平台 ， 查 看 并 处 理 重要 风险 预警 及 告 人 
4) 登录 终端 安全 工作 邮箱 
5) 定期 完成 规范 要 求 的 周报 及 月 报 
a 6) 安全 通告 (预警 ) 的 制作 和 发 送 
4 作 端 安全 管理 值班 人 员 日 常 检查 项 : 
. 1) 终端 安全 值班 人 员工 作 检查 项 
2) 系统 状态 和 资源 使 用 情况 
3) 每 日 需 查 看 的 监视 仪表 板 、 活 动 列 表 等 
4) 工 单 系统 
基于 关联 规则 的 安全 事件 告警 
系统 的 安全 预警 或 外 部 接收 的 安全 预警 信息 
工作 邮件 等 
全 事件 是 指 所 有 的 终端 系统 及 技术 平台 自身 ， 由 于 终端 〈 或 服务 器 ) 系统 的 
、 软 件 、 数 据 因 设备 故障 、 偶 然 、 恶 意 的 原因 而 遭 到 的 系统 破坏 、 更 改 、 信 
泄漏 或 者 导致 系统 不 能 连续 正常 运行 的 事件 。 如 发 生 以 下 情况 ， 可 以 定义 为 安 


能 严重 下 降 ， 或 者 宕 机 ， 导 致 系统 无 法 正常 运行 
2) 客户 代理 掉 线 
3) 非 授 权 访 问 ， 通 过 入 侵 的 方式 进入 未 被 授权 访问 的 网 络 中 ， 而 导致 数据 信 
息 泄漏 
安全 事件 定 4) 信息 泄密 ， 数 据 在 传输 中 因数 据 被 截取 、 艾 改 而 造成 信息 的 更 改 
文 及 处 理 广 5) 拒绝 服务 ， 正 常用 户 不 能 正常 访问 服务 器 提供 的 相关 服务 
i 6) 大 面积 感染 计算 机 病毒 或 蠕虫 
法 规范 Ss EA a 
7) 设备 故障 导致 系统 骨 演 
8) 误 操作 导致 系统 骨 尝 
9) 任何 在 监控 中 或 日 常 工 作 中 发 现 的 可 疑 、 不 确定 的 事件 等 
安全 预警 或 安全 事件 信息 的 获取 方式 : 
1) 日 常 监控 的 发 现 
2) 用 户 电 话 申告 
3) 用 户 邮 件 申告 
4) 外 部 信息 获取 
5) 其 他 方式 
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安全 事件 的 处 理 依据 安全 事件 响应 流程 说 明 进行 处 理 


重 或 复杂 事件 ， 在 规定 的 时 间 内 无 法 提供 解决 方案 时 ， 转 入 更 高 一 级 处 


控 与 处 理 
流程 安全 事件 处 理 完成 的 后 续 步 又 ; 
1) 完善 知识 库 系统 
2 ) 修订 问题 发 现 规则 
按照 《终端 安全 日 常 运 维 管 理 考核 要 求 》 定 期 对 全 体 终端 安全 管理 
核 并 计算 考核 分 数 ， 该 考核 结果 作为 奖惩 依据 
考核 的 范围 包括 ， 考 勤 、 日 常 监控 、 日 常 维护 、 工 时 、 报 表 、 知 识 贡献 等 ， 具 
体 考核 标准 需 依据 相关 规范 要 求 


终端 接 入 网 络 相关 流程 ， 包 括 所 有 表格 模板 


接 入 网 络 终端 所 需 


终端 接 入 网 络 前 需 进 行 


终端 用 户 进行 账号 申请 和 审批 ， 终 端 安全 管理 相关 领导 负责 审批 创建 、 变 更 和 
撤销 员工 的 账号 及 权限 ， 且 体操 作 由 终端 安全 管理 员 执 行 
账号 的 1 常 务 相 关 人 员 应 严格 按照 审批 后 的 账号 、 权 限 
请 、 更 改 和 | 维护 和 管 到 出 除 相关 账号 。 相 关 工 作 人 员 在 离职 或 调 
撤销 转 后 应 在 指定 时 间 内 删除 其 所 有 账号 和 权限 
终端 安全 管理 负责 人 应 负责 登记 、 备 案 用 户 账号 ， 并 定期 对 用 户 账 号 和 权限 进 

行 监督 、 检 查 


应 根据 不 同 的 角色 确定 用 户 账号 
各 账号 应 能 标识 系统 访问 的 不 同 角 色 ， 应 尽量 避免 使 用 系统 默认 账号 ， 账 号 
账号 规范 及 上 次 定 尼 务 于 市 计 
管理 各 级 系统 管理 员 应 当 对 系统 中 存在 的 账号 进行 定期 审计 ， 系 统 中 不 应 存在 无 用 
或 匿名 账号 
终端 安全 技术 支撑 系统 应 开启 系统 安全 日 志 功 能 ， 能 够 记录 系统 的 登录 和 访问 
时 间 、 操 作 内 容 
根据 密码 、 口 令 所 属 的 不 同系 统 和 应 用 进行 分 类 要 求 ， 包 括 长 度 、 复 杂 度 和 变 
更 时 间 要 求 等 
密码 不 能 以 明文 的 方式 通过 电子 邮件 或 者 其 他 网 络 传输 方式 进行 传输 
任何 人 不 得 将 密码 告诉 他 人 ， 如 系统 密码 泄漏 ， 必 须 立 即 更 改 
账户 未 经 批准 任何 权限 管理 人 员 不 能 共享 权限 及 口令 
J 所 有 系统 在 建设 和 维护 期 间 设立 的 默认 密码 在 系统 投入 使 用 之 前 都 要 修改 
沈 泄 尺 尼 圭 
密码 在 输入 系统 时 ， 不 能 在 显示 屏 上 明文 显示 出 来 
系统 应 该 强制 指定 密码 的 策略 ， 包 括 密码 的 最 短 有 效 期 、 最 长 有 效 期 、 最 短 长 
度 、 复 杂 性 等 
除了 系统 管理 员外 ， 一 般 用 户 不 得 具有 ] 户 口令 的 权限 
针对 第 三 方 人 员 的 账号 ， 应 再 分 配 时 明确 指定 创建 时 间 及 撤销 时 间 ， 并 由 终 问 
安全 管理 负责 人 进行 记录 、 跟 踪 及 监督 ， 到 期 应 理解 停止 试用 
应 根据 “最 小 授权 ”的 原则 设 定 账户 访问 权限 ， 控 制 用 户 仅 能 够 访问 到 工作 需 
要 的 信息 
终端 安全 管理 负责 人 应 具有 对 各 系统 用 户 的 审计 权限 ， 应 具备 比较 完整 的 读 权 
限 ， 应 当 能 够 读 取 系统 关键 文件 ， 检 查 系 统 设置 、 系 统 
针对 第 三 方 人 员 的 访问 权限 ， 应 进行 定期 的 检查 和 审 
账号 口令 的 审批 、 授 权 、 分 发 和 使 用 应 遵循 本 规定 的 要 求 ， 对 于 违反 规定 ， 造 
成 账号 口令 的 滥用 、 失 窃 ， 导 致 信息 系统 安全 风险 的 ， 须 追查 并 追究 相应 环节 3 @ 
任 人 的 责任 ， 将 根据 情节 轻重 采取 责令 期 限 整改 、 通 报批 评 等 处 罚 措施 


账号 命名 针对 自 有 工作 人 员 ， 账 号 名 称 需 采用 所 在 地 区 、 省 市 的 拼音 第 一 个 字母 ”具体 
要求 人 员 名 字 全 拼 组 成 ， 对 于 地 区 首 字母 重合 的 依次 向 后 取 至 不 再 重合 为 上 ， 对 于 姓 O 


© © ® ieg@eoOoODOID| @ 


权限 管理 


名 全 拼 重 合 的 加 1 位 阿拉 伯 数 字 以 区 分 
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( 续 ) 
技术 平台 
支撑 
针对 第 三 方 人 员 (主要 指 有 临时 需要 的 各 种 人 员 的 权限 分 配 )， 账 号 名 称 为 : 
L+ 预 计 撤 销 时 间 的 年 月 日 组 成 (如 建立 使 用 期 限 到 2011 年 12 月 1 日 的 账号 ;: © 
L20111201) 
© 
全 预警 报告 模板 进行 编 @ 
@ 
全 评估 工作 情况 和 相关 模板 ， 编 写 安 全 评 @ 
有 知识 库 平 台 ， 支 持 知识 积累 和 知识 共享 @ 
备注 : 
技术 平台 支撑 标识 符 含 义 ， 
完全 由 技术 平台 支撑 为 @ 


部 分 由 技术 平台 支撑 为 9 


终端 安全 日 常 维护 中 常用 到 的 流程 有 表 10-3 中 的 8 个 ， 有 具体 流程 需要 结合 应 用 单位 的 
实际 行政 管理 情况 进行 完善 。 


表 10-3 终端 安全 日 常 维护 流程 列表 


流 程 名 涉及 人 人员 输入 输出 文档 说 明 


《重要 风 se 吉 果 》 、 I 
a OE 


(系统 日 党 近 傅 纲 ) i 
《日 常安 全 事件 处 理 情况 表 )》 2) 旧作 
《交接 班 文档 》 人 


日 常 监控 
流程 


主机 系统 管理 


主要 是 安全 预警 信息 的 获取 ， 
整理 和 发 布 


主机 系统 


管理 
安全 管理 员 


《安全 (预警 ) 通告 文档 》 


安全 预警 处 理 流程 


《安全 事件 工 单 》 主要 包括 : 
主机 系统 管理 《安全 事件 处 理 过 程 说 明 书 》 1) 发 现 安全 事件 后 派发 的 工 单 
安全 事件 处 理 流程 安全 管理 员 《安全 事件 处 理 案 例 说 明 书 2) 安全 事件 处 理 


安全 审计 员 (可 选 ) 3) 安全 事件 处 理 经 验 总 结 和 让 
《安全 (事件) 通告 》( 可 选 富 知识 库 


《安全 事件 工 单 》 
《安全 事件 处 理 过 程 说 明 书 》 
《安全 事件 升级 处 理 申 请 》 
《安全 故障 处 理 过 程 说 明 书 》 
《安全 故障 处 理 案例 说 明 书 
(可 选 ) 
《安全 故障) 通告 》( 可 选 ) 


端 使 用 者 ( 申请 者 ) 《终端 
统管 理 员 〈( 实 
主机 系统 三 理 上 人 ( 头 《入 网 终端 检查 身 


施 者 ) 多 
安全 管理 员 (审核 者 ) 《终端 入 网 处 置 


主要 包括 : 

1) 安全 事件 升级 

2) 升级 为 安全 故障 后 的 处 理 
3) 安全 故障 处 理 经 验 教 训 总 
吉 ， 丰 富 知 识 库 ， 并 全 员 通 告 以 
加 强 安全 意识 


主机 系统 
安全 管理 
安全 审计 员 


安全 故障 处 理 流程 


AS 


主要 包括 : 

1) 终端 入 网 申请 
2) 终端 入 网 前 检查 
3) 终端 入 网 实施 


入 网 申请 


终端 入 网 管理 流程 
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( 续 ) 
流 程 名 说 明 
终端 使 用 者 提出 维护 《终端 维护 申请 a 
请 ) 《终端 维护 记录 让 ， 六 南庄 
终端 维护 管理 流程 主机 系统 管理 《终端 入 网 申请 i a 
安全 管理 员 大 《入 网 终端 检查 六 2) 终端 维护 过 程 记 录 和 审计 
A 3) 终端 维护 结束 后 重新 入 网 
核 者 ) 《终端 入 网 处 置 单 》 
a 、 主要 包括 : 
2 ，。 《账号 申请 单 》 1) 账号 申请 
账号 申请 、 修 改 、 ae ed 《账号 修改 申请 音 2) 账号 修改 
撤销 流程 2 《账号 撤销 申请 3) 账号 撤销 
安全 管理 员 《账号 操作 记录 单 》 4) 账号 操作 实施 及 相关 工作 
安全 主管 ; 记录 
主要 包括 
过 二 《终端 硬件 配置 变更 申请 1) 终端 软 、 硬 件 、 使 用 人 等 
| 《终端 资产 使 用 人 变更 申请 变更 
变更 流程 A 《终端 使 用 范围 变更 申请 2) 服务 器 软 、 硬 件 、 维 护 人 
人 《终端 安全 防护 及 管理 系统 配置 | 员 变 更 
变更 申请 单 》 3) 终端 安全 防护 和 管理 技术 
平台 配置 等 变更 


Re 日 常 统计 分 析 


通过 终端 安全 防护 平台 和 管理 平台 对 管理 范围 内 终端 管理 信息 进行 实时 采集 ， 统 一 汇 
总 、 级 联 、 统 计 和 分 析 ， 及 时 了 解 所 管理 范围 内 的 终端 状态 ， 对 终端 管理 数据 进行 安全 评 
估 ， 对 终端 安全 进行 分 析 。 终 端 系统 的 管理 信息 包括 基础 管理 数据 、 安 全 事件 信息 。 

基础 管理 数据 包括 终端 数量 、 操 作 系统 类 0 在 线 /离线 状态 、 防 病毒 
软件 安装 及 升级 状态 、 安 装 软件 、 终 端 弱 口 令 、 操 作 系 统 日 志 等 。 

安全 事件 信息 包括 终端 中 常 运行、 系统 补丁 检测 更 新 、 线 ， 崩 用 户 权 限 变 化 、 非 法 软件 操 
a 非 注 册 终 端 违规 接 入 等 影响 终端 及 网 络 正常 运行 的 各 种 行为 事件 信息 。 

贮 理 信息 ， 各 申 位 通过 级 联 对 以 下 指标 进行 对 比分 析 ; 

2 端 注册 数量 和 比率 ”各 单位 已 注册 (安装 了 客户 端 ) 信息 内 网 终端 数量 
与 信息 内 网 终端 总 数 ， 以 及 信息 内 网 终端 注册 数量 与 信息 内 网 终端 总 数量 的 比率 。 数 据 采集 
周期 : 实时 。 

2) 信息 内 网 终端 使 用 数量 和 比率 ”各 单位 信息 内 网 在 线 终端 数量 ， 信 息 内 网 在 线 终端 
数量 与 终端 总 数 的 比率 。 数 据 采 “ 集 周 期 : 实时 。 

3) 安装 各 种 操作 系统 信息 内 网 终端 数量 ”各 单位 管理 范围 内 安装 Windows 98/NT/2000/ 
2003/XP/Vista/7 等 操作 系统 的 信息 内 网 终端 数量 。 

4) 补丁 更 新 率 各 单位 管理 范围 内 及 时 更 新 操作 系统 补丁 的 信息 内 网 终端 数量 与 信息 
内 网 终端 总 数 的 比率 。 数 据 采 和 集 周 期 每 天 。 

5) 违规 外 联 报警 数量 ”各 单位 管理 范围 内 信息 内 网 终端 违规 外 联 的 报警 数量 。 数 据 采 
样 方式 : 违规 外 联 事件 产生 后 触发 。 

6) 安装 各 种 防 病毒 软件 信息 内 网 终端 数量 各 单位 管理 范围 内 安装 各 种 防 病 毒 软件 的 
言 息 内 网 终端 数量 。 数 据 采 和 集 周 期 :实时 。 
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通过 与 上 级 终端 系统 的 级 联 ， 上 级 终端 系统 将 通过 下 级 终端 系统 采集 各 单位 终端 管理 信 
恩 。 未 部 闭 终端 系统 的 单位 ， 要 通过 内 部 信息 系统 运行 维护 月 报 将 本 单位 终端 管理 信息 上 报 
上 级 信息 化 工作 部 门 ， 上 级 信息 化 工作 部 门将 综合 对 各 单位 的 终端 管理 信息 采集 情况 和 统计 
分 析 情 况 ， 形 成 整个 信息 内 网 终端 安全 有 关 通 报 进行 发 布 。 


10.4 日 常 工 作 的 实现 


日 常 运 维 的 主要 目的 是 通过 实时 监控 终端 系统 ， 及 时 发 现 终 端 系 统 存在 的 安全 风险 并 处 
理 ， 规 避 重 大 终端 安全 风险 问题 或 降低 终端 安全 风险 问题 的 损害 。 
日 常 运 维 工作 的 基本 框架 如 图 10-1 所 示 。 


用 


一 :一 


端 安全 管理 工作 评价 与 芳 核 
全 评价 与 考核 


终端 安全 日 常 运 维 
技术 支撑 实现 过 程 
安全 风险 处 置 审计 


控制 策略 
分 析 策 略 


赵 光 聚 焉 除 冰 


监视 策略 


图 10-1 终端 安全 日 常 运 维 工 作 框架 图 


作为 信息 网 络 中 的 接 入 节点 ， 终 端 系统 数量 大 ， 应 用 多 ， 如 不 采用 有 效 的 撤 术 手段 ， 单 
纯 依 靠 人 工 进行 系统 的 监视 和 风险 处 置 是 无 法 实现 的 。 

从 以 上 终端 日 常 运 维 工 作 框 架 图 的 的 技术 文 撑 实现 可 见 : 

1) 终端 系统 状态 及 安全 信息 的 获取 是 运 维 实施 的 基础 ， 信 息 获 取 主 要 通过 技术 检测 手 
段 实 时 或 定期 获得 。 
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2) 基于 终端 安全 分 析 策略 检测 分 析出 终端 安全 风险 事件 (包括 预警 和 告警 事 件 ) 

3) 运用 安全 控制 策略 ， 自 动 或 提醒 终端 安全 管理 人 员 手 工 对 安全 风险 事件 进行 处 置 。 

4) 对 于 安全 风险 处 置 工作 (包括 自动 和 人 工 ) 进行 记录 ， 以 供 后 续 审计 工作 需要 ， 

5) 基于 日 常 运 维 全 过 程 信息 进行 分 析 ， 支 撑 对 终端 安全 管理 人 员 考 核 和 终端 系统 的 安 
全 状况 进行 评价 。 

6) 基于 4) 和 5) 的 工作 对 于 现行 的 安全 策略 进行 评估 和 调整 ， 以 实现 终端 安全 体系 的 
保障 能 力 螺旋 式 上 升 。 

以 上 1) 到 6) 的 过 程 是 在 终端 安全 策略 体系 的 指导 下 ， 基 于 终端 安全 技术 平台 实现 
的 。 通 常 的 实现 框架 主要 由 防护 框架 和 管理 框架 两 部 分 组 成 ， 如 图 10-2 所 示 。 其 中 置 为 灰 
色 的 为 终端 安全 防护 技术 框架 部 分 ， 其 他 为 终端 安全 管理 技术 框架 部 分 。 


端 安全 管理 工作 评价 与 考核 
安全 评价 与 考核 
运 维 相关 信息 分 析 
运 维 相关 信息 获取 
终端 安全 日 常 运 维 


技术 支撑 实现 过 程 
安全 风险 处 置 审计 


安全 风险 人 工 参 与 处 置 


安全 风险 自动 处 置 安全 风险 预警 /告警 


运用 控制 


策略 控制 策略 
安全 预警 /告警 事件 
动 分 析 和 结合 人 工分 析 
自动 分 析 和 结合 人 工分 析 


系统 状态 或 其 他 信息 


全 和 


ky hkl ZZ + 
终端 系统 


汉王 到 下 除 对 


图 10-2 终端 安全 日 第 运 维 过 程 安全 防护 及 管理 框架 示意 图 


以 上 两 大 防护 框架 不 仅 可 以 自行 提供 相关 的 技术 支撑 工具 ， 也 可 以 集成 其 他 终端 安全 防 
护 工 具 ， 完 善 技术 平台 和 体系 。 如 系统 状态 或 其 他 信息 监控 中 可 以 集成 终端 病毒 防护 产品 ， 
实现 对 病毒 相关 状态 和 特征 的 监测 、 分 析 与 控制 。 
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11 分 析 数 据 准备 


分 析 数 据 的 目的 主要 是 根据 获取 的 事件 信息 ， 揭 示 可 能 已 知 或 未 知 的 趋势 ， 为 终端 安全 
管理 工作 提供 管理 和 监督 的 实际 数据 文 持 。 通过 忆 孝 据 的 深入 分 析 可 以 对 终端 安全 的 工作 情 
况 深入 了 解 ， 并 对 后 续 的 整改 提供 分 析 的 依据 ， 或 为 计划 提供 可 靠 的 实际 数据 文 持 。 

要 进行 深度 分 机 ， 首 先 要 进行 分 析 数 据 的 准备 工作 。 分 析 数 据 的 来 源 与 分 析 数 据 的 目标 
密切 相关 。 结 合 终端 安全 管理 体系 的 内 容 ， 分 析 的 数据 来 源 可 列举 如 下 : 

Vv 终端 本 号 的 安全 事件 

v 与 终端 相关 的 设备 上 对 终端 记录 的 安全 事件 

v 相关 应 用 系统 上 对 终端 记录 的 安全 事件 ， 包 括 但 不 限于 审计 系统 、 行 为 分 析 系 统 等 

v 其 他 设备 或 系统 记录 的 终端 相关 的 安全 事件 

由 于 有 如 此 之 多 的 数据 来 源 ， 且 这 些 数据 来 源 提供 的 安全 事件 在 内 容 上 必然 存在 极 大 的 
差别 ， 为 了 能 够 对 这 些 安全 事件 进行 统一 的 管理 和 分 析 ， 需 要 对 这 些 事件 进行 归 一 化 的 处 
理 。 一 般 而 言 ， 数 据 归 一 化 处 理 可 以 分 为 数据 格式 化 与 数据 语义 映射 两 个 部 分 。 

(1) 数据 格式 化 

数据 格式 化 ， 将 数据 通过 格式 化 的 方式 ， 转 换 为 统一 的 表现 形式 。 其 处 理 过 程 又 可 细 分 
为 数据 预 处 理 、 数 据 处 理 与 数据 填充 。 

1) 数据 预 处 理 ， 将 原始 数据 解析 为 信息 元 〈 有 特定 含义 的 数据 单元 ， 信 息 元 的 划分 一 
般 与 归 一 化 事件 字段 有 关 )。 如 : 

CISCO 交换 机 UDP 日 志 : 

<39>233159: *Mar 26 04:04:10: UDP: rcvd src=192.168.101.239(137), dst=192.168.101.255 
(137), length=58 

CISCO PIX 防火 墙 UDP 日 志 : 

<166>%PIX-6-302016: Teardown UDP connection 12385695S for outside:61.171.177.212/ 
16405 to inside: 192.168.101.255/40560 duration 0:02:01 bytes 70 

处 理 后 的 信息 元 如 表 11-1 所 示 。 

表 11-1 处 理 后 的 信息 


CISCO 交换 机 UDP 日 志 PIX 防火 墙 UDP 日 志 


Syslog 日 志 标 准 格式 字段 ， 表 示 优 Syslog 日 志 标 准 格式 字段 ， 表 示 优 先 
39 先 级 ， 可 通过 计算 公式 进一步 处 理 获 级 ， 可 通过 计算 公式 进一步 处 理 获 得 设备 


Mar 26 04:04:10 志 产 生 时 间 日 志 严 重 级 别 ， 可 通过 166 计算 获得 
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( 续 ) 
CISCO 交换 机 UDP 日 志 PIX 防火 墙 UDP 日 志 
协议 类 型 ， 这 里 可 以 有 其 他 类 
型 ， 如 : IP ARP 协议 等 ， 这 里 的 协议 
不 同 ,日 志 后 面 的 内 容 也 不 同 ， 可 提 
DP | 201 
取得 信息 元 也 不 相同 。 在 示例 日 志 | 302016 事件 写 
中 ， 卫 ARP 协议 中 没有 了 端口 信息 ， 
但 是 多 了 MAC 地 址 信息 
要 a 表示 协议 类 型 ， 根据 协议 的 不 同 ， 日 志 
音 9 上 AN 上 六 表示 协 以 大 二 和 ge -I 
192.168.101.239 2 可 以 从 日 志 中 的 sre 部 | UpP 描述 的 内 容 也 有 差别 ， 可 获取 的 信息 元 也 
i 会 发 生变 化 
. ; 到 到 
192.168.101.255 分 ee 可 以 从 日 志 中 dst 部 源 接口 的 名 字 
Ge 源 下 地 址 ， 可 以 从 日 志 中 的 outside...to 
58 表示 源 发 送 了 58 个 字 节 源 端口 
i 的 和 字 
ee 连接 持续 时 间 ， 这 个 时 间 需 要 被 格式 化 
为 秒 


2) 数据 处 理 ， 对 信息 元 的 数据 进行 处 理 ， 将 相同 类 型 的 数据 处 理 为 统一 的 格式 。 比 如 
时 间 ， 它 可 以 有 非常 多 的 表现 形式 ， 如 “Dec 3 11:00:00 2007”“2007-12-3 11:00:00” 或 
“Mon Dec 3 11:00:00 CST 2007” 等 ， 它 们 表示 的 都 是 同一 个 时 间 ， 但 表现 形式 上 有 差别 。 计 
算 机 无 法 自动 认 知 这 些 差别 ， 所 以 为 了 后 续 的 数据 表现 及 数据 处 理 ， 需 要 对 时 间 进 行 格式 
化 ， 统 一 其 表现 形式 。 除 时 间 外 ， 还 有 MAC 地 址 、IP 地 址 等 需要 格式 化 的 数据 类 型 。 除 了 
格式 上 的 统一 外 ， 还 需要 对 数值 型 数据 的 度量 进行 统一 ， 如 文件 或 空间 的 大 小 ， 可 能 用 MB 
( 兆 字 节 )、KB〔 千 字 节 ) 或 BYTE〈 字 节 ) 等 任意 一 个 度量 做 单位 ， 单 位 的 不 同 会 造成 数据 
的 巨大 差异 ， 因 此 也 需要 对 数值 型 的 数据 进行 度量 统一 。 

3) 数据 填充 ， 将 经 过 数据 处 理 的 信息 元 填充 到 相应 语义 的 归 一 化 数据 字段 中 。 通 过 正 
确 分 析 原 始 数据 的 整体 语义 ， 正 确 地 理解 信息 元 的 含义 。 如 即使 都 是 IP 地 址 ， 但 根据 语义 
不 同 可 以 区 分 为 源 PP 地 址 和 目的 卫 地 址 ， 根 据 语义 可 以 知道 数据 是 谁 发 出 的 等 ， 在 确定 语 
义 后 ， 将 信息 元 分 别 填充 到 归 一 化 事件 对 应 的 字段 中 。 

(2) 数据 语义 映射 

数据 语义 映射 用 于 统一 数据 的 语义 表述 ， 即 将 表示 相同 语义 的 不 同 内容 统 一 为 同一 的 
表述 形式 。 该 过 程 将 不 同 原 始 数据 中 ， 表 示 相 同 语义 的 内 容 统一 为 同一 的 语义 表示 。 这 里 
有 别 于 格式 化 的 是 ， 这 里 强调 的 是 对 数据 内 容 语义 的 统一 。 如 数据 的 级 别 ， 在 Syslog 标准 
中 定义 了 8 个 级 别 ， 而 Windows 的 Event Log 日 志 中 定义 了 5 个 级 别 ， 它 们 分 别 如 表 11-2 
所 示 。 

因为 二 者 在 划分 级 别 的 个 数 上 不 统一 ， 而 且 定 义 不 统 一 ， 势 必 造 成 后 续 的 数据 表示 及 处 
理 的 不 一 致 ， 所 以 必须 对 它们 级 别 的 内 容 进 行 数 据 映 射 ， 统 一 它们 的 语义 。 上 面 表格 的 映射 
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部 分 给 出 了 数据 映射 的 对 照 关 系 。 像 这 样 需 要 进行 数据 映 册 的 内 容 还 包括 病毒 信息 、 漏 洞 信 
息 、 补 丁 信息 、IDS 攻击 信息 等 ， 以 上 的 信息 均 会 因为 厂商 或 标准 的 不 同 ， 信 息 的 描述 上 存 
在 差异 。 如 不 同 的 反 病毒 /商会 给 同一 种 病毒 定义 不 同 的 名 字 ， 这 里 就 需要 将 不 同 的 名 字 映 
财 为 同一 个 名 字 ， 以 便 后 续 的 数据 人 处理。 


表 11-2 常用 标准 的 数据 级 别 定 义 


Syslog Event Log 
| | 
”| ww | 0 | we | | | 


所 谓 终端 安全 风险 的 深度 分 析 实 质 上 是 对 终端 安全 风险 进行 的 由 浅 入 深 、 由 表 及 里 的 全 
方位 分 析 。 结 合 终 端的 安全 现状 ， 有 无 脆弱 性 等 ， 与 不 断 发 生 的 、 终 端 相 关 的 
安全 事件 一 起 来 评价 终端 的 整体 风险 情况 。 端 安全 风险 的 深度 分 析 需 要 建立 在 对 终端 相关 
安全 玫 的 兴 主机 之 上 ， 在 有 了 上 一人 安全 从 务 之 三 记 
经 对 每 种 安全 事件 的 含义 有 了 初步 的 认识 。 下 面 需要 结合 安全 知识 的 理解 、 终 端 安全 的 现状 
以 及 安全 事件 的 认 知 三 者 来 构建 终端 安全 风险 的 分 析 模 型 。 

下 面 以 安全 事件 为 主 视角 ， 分 别 对 单一 安全 事件 、 多 个 相关 安全 事件 及 海量 安全 事件 进 
J 分 析 建 模 。 

(1) 单一 安全 事件 

在 安全 事件 知识 的 认 知 体系 中 ， 除 了 如 IDS、IPS 等 报 出 的 具有 明确 安全 意义 的 ， 可 能 
造成 具体 终端 风险 上 升 的 单一 安全 事件 需要 关注 外 ， 其 他 还 有 很 多 级 别 较 低 的 ， 容 易 被 忽视 
的 ， 却 存在 一 定安 全 隐患 的 单一 安全 事件 需要 关注 。 如 一 个 在 午夜 的 登录 某 一 业务 系统 的 安 
全 事件 ， 这 个 安全 事件 本 身 属于 一 个 正常 的 业务 登录 事件 ， 其 级 别 并 不 高 ， 但 由 于 它 是 :午夜 
的 发 生 的 ， 而 这 个 时 间 段 不 属于 正常 的 业务 系统 访问 时 间 ， 也 就 是 该 事件 反映 了 一 个 非常 态 
的 登录 行为 ， 那 么 这 个 安全 事件 就 必须 引起 关注 。 即 使 经 过 最 终 确认 ， 这 是 一 个 合法 用 户 临 
时 加 夜班 时 的 合理 登录 行为 。 

另外 ， 即 便 是 如 IDS、IPS 等 报 出 的 具有 明确 安全 意义 的 安全 事件 ， 但 由 于 终端 当前 的 
安全 状态 是 已 经 修补 了 系统 ， 打上 了 补丁 或 有 其 他 安全 产品 防护 。 则 该 安全 事件 所 反映 的 问 
题 根 本 无 法 影响 到 终端 ， 不 会 造成 终端 风险 的 上 升 。 此 时 应 该 忽略 掉 这 个 安全 事件 ， 从 而 节 
省 处 理 安全 事件 所 需 的 成 本 。 
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以 上 两 类 安全 事件 分 析 模 型 都 是 用 于 确认 安全 事件 是 否 会 对 终端 的 风险 造成 影响 。 下 面 
描述 如 何 对 两 类 安全 模型 进行 建 模 。 

第 一 类 模型 的 建 模 需要 根据 预先 掌握 的 安全 知识 或 实际 应 用 情况 〈 如 真实 应 用 系统 的 应 
用 环境 ) 设 定 一 个 正常 或 异常 的 模型 描述 。 然 后 确认 应 用 此 模型 安全 事件 需要 具备 的 安全 特 
征 ， 如 安全 事件 中 必须 有 时 间 信息 且 它 必须 是 登录 事件 才能 应 用 到 “异常 时 间 段 访问 ”的 分 
析 模 型 中 。 最 后 需要 确认 模型 的 应 用 范围 ， 如 指明 究竟 是 哪些 系统 的 登录 安全 事件 应 用 到 这 
个 分 析 模 型 

第 二 类 模型 的 建 模 需 要 首先 根据 安全 知识 对 安全 事件 类 型 与 补丁 、 漏 洞 等 的 信息 关系 进 
行 模型 描述 。 然 后 确认 哪些 具体 的 安全 事件 属于 该 安全 事件 类 型 。 最 后 需要 明确 该 安全 模型 
应 用 于 哪些 终端 

(2) 多 个 相关 安全 事件 

在 安全 事件 知识 体系 中 ， 很 多 时 候 ， 单 个 安全 事件 本 身 所 体现 的 安全 行为 不 值得 关注 ， 
但 将 多 个 安全 事件 音 在 一 起 分 析 就 很 值得 关注 了 。 如 一 个 外 部 地 址 在 一 个 时 间 段 内 频繁 访问 
一 个 主机 的 不 同 端口 ， 而 外 部 地 址 与 该 主机 间 的 防火 墙 记录 了 所 有 这 些 访问 事件 。 这 里 的 每 
一 个 访问 事件 都 是 正常 的 事件 ， 且 事件 本 身 被 标记 的 级 别 也 不 高 。 但 将 这 一 段 时 间 内 发 生 的 
所 有 访问 事件 关联 在 一 起 分 析 时 ， 就 会 发 现 这 是 一 个 外 部 地 址 扫描 内 部 主机 端口 的 扫描 行 
为 ， 是 一 个 值得 密切 注意 的 安全 行为 。 

另外 ， 如 IDS 这 样 的 安全 设备 ， 其 在 产生 安全 事件 时 有 很 多 情况 下 会 误 报 ， 信 噪 比比 
较 高 。 这 将 加 大 终端 安全 事件 的 处 理 成 本 及 干扰 终端 安全 风险 的 正确 评估 。 针 对 这 种 情况 
也 可 以 通过 关联 多 个 安全 事件 来 确认 该 安全 事件 是 否 真 的 发 生 ， 是 否 值得 关注 。 如 IDS 发 
现 了 一 个 针对 某 一 终端 的 DDOS 攻击 ， 并 报告 了 一 个 安全 事件 。 在 这 一 段 时 间 内 防火 墙 也 
报告 了 很 多 源 地 址 不 同 而 目标 地 址 省 为 某 一 终端 的 通信 事件 。 且 终端 上 的 CPU 利用 率 已 超 
过 80%。 此 时 可 以 确认 IDS 报 的 安全 事件 是 一 个 真实 的 安全 事件 ， 否 则 这 个 安全 事件 不 值 
得 关注 。 

以 上 两 类 多 个 安全 事件 相关 的 风险 分 析 模 型 与 单一 安全 事件 的 风险 分 析 模型 的 目标 一 
致 ， 主 要 是 用 来 确认 安全 事件 对 终端 的 风险 是 否 有 影响 ， 借 此 评估 终端 安全 的 风险 情况 。 多 
个 安全 事件 的 风险 模型 可 以 分 为 通用 风险 分 析 模型 和 专用 风险 分 析 模 型 。 通 用 风险 分 析 模 型 
的 普 适 性 好 ， 但 建 模 周 期 长 ， 需 要 经 过 长 时 间 的 知识 积累 。 多 数 通用 风险 分 析 模 型 已 被 其 他 
的 安全 产品 提供 ， 如 IDS 就 提供 了 端口 扫描 的 风险 分 析 模型 。 可 以 直接 借鉴 这 类 模型 来 对 安 
全 事件 进行 分 析 建 模 。 而 专用 风险 分 析 模 型 对 实际 应 用 的 环境 有 较 高 的 依赖 ， 这 有 别 于 通用 
的 风险 分 析 模 型 。 但 专用 风险 分 析 模型 正 因为 对 环境 有 较 高 的 依赖 ， 所 以 它 的 应 用 效果 更 
好 ， 安 全 事件 分 析 准 确 率 更 高 。 下 面 描述 如 何 对 专用 风险 分 析 模型 进行 建 模 。 

首先 需要 充分 了 解 终端 所 处 的 环境 。 比 如 外 网 是 否 能 访问 到 终端 ? 终端 能 否 访问 到 外 
网 ? 外 网 到 终端 的 网 络 通路 上 都 部 署 了 什么 安全 产品 ? 是 否 已 经 部 署 了 防火 墙 或 IDS? 二 者 
的 部 署 顺序 是 什么 ? 终端 能 访问 和 被 哪些 内 网 访问 ? 这些 网 络 通路 上 都 部 署 了 什么 等 。 在 充 
分 了 解 了 终端 的 部 署 环境 后 ， 根 据 所 知 的 安全 知识 提出 一 个 共 知 的 安全 问题 ， 如 IDS 在 报告 
DDOS 攻击 时 有 较 大 的 信 品 比 。 针 对 此 问题 ， 结 合 实际 环境 设 定 一 个 模型 描述 模型 描述 会 
根据 环境 中 有 无 防火 墙 而 不 同 )。 然 后 确定 满足 这 一 模型 的 安全 事件 都 应 具备 的 特征 。 最 后 
确认 模型 的 应 用 范围 ， 如 指明 该 场景 应 用 于 哪些 终端 。 
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(3) 海量 安全 事件 

海量 安全 事件 分 析 主 要 用 于 终端 的 风险 统计 分 析 。 它 可 以 分 析 一 段 时 间 以 来 的 终端 的 总 
体 风 险 趋势 、 终 端 中 各 类 安全 事件 的 比率 及 趋势 、 造 成 终端 风险 的 安全 事件 来 源 的 分 布 情况 
及 全 网 终端 风险 趋势 等 等 。 这 些 分 析 模 型 一 般 基于 数据 库 构 建 。 


WE 深度 分 析 方 法 与 实现 


上 一 市 以 安全 事件 为 主 视角 讨论 了 风险 深度 分 析 的 建 模 。 本 节 将 针对 上 一 节 的 描述 着 重 
前 述 如 何 用 不 同 的 深度 分 析 方 法 来 实现 不 同 的 分 析 模 型 。 

(1) 单一 安全 事件 ---- 基 于 规则 匹配 的 分 析 方 法 

基于 规则 匹配 的 分 析 方 法 是 一 种 条 件 匹 配 分 析 方 法 。 它 通过 预先 设 定好 匹配 条 件 完成 对 
安全 事件 的 分 析 。 当 一 个 安全 事件 匹配 了 规则 预先 设 定 的 条 件 ， 其 分 析 结 果 就 为 真 ， 否 则 就 
为 假 。 

基于 规则 匹配 的 分 析 方 法 需要 具备 灵活 的 语法 ， 可 以 尽 最 大 可 能 地 摘 述 各 类 匹配 条 件 ， 
并 具有 很 好 的 可 扩展 性 ， 可 以 扩展 语法 尚 不 满足 的 条 件 规 则 。 至 少 需 要 文 持 AND、OR、 
NOT 等 逻辑 运算 并 文 持 逻辑 运算 的 舱 套 应 用 ， 还 需要 文 持 “=”“<>” “>”“>=”“<”、 
“<=” “BETWEEN..AND”“IS”“IN”“LIKE” 及 正则 表达 式 等 匹配 运算 。 

基于 规则 匹配 的 分 析 方 法 需要 支持 多 个 匹配 规则 同时 运行 ， 并 需要 具备 民 好 的 运行 效率 。 

下 面 演 试用 一 段 伪 规 则 匹配 语法 描述 一 下 11.2 节 中 单一 安全 事件 中 提 到 的 两 个 分 析 
模型 。 

1) 异常 时 间 段 访问 (InTimeRange(evt.time,'19:00:00','8:00:00)AND evt.type=' 登 录 '); 该 
规则 表示 的 含义 是 如 果 事 件 的 时 间 在 19 点 到 第 二 天 早晨 8 点 钟 之 间 并 且 事 件 的 类 型 为 登 
录 ， 则 该 事件 匹配 此 规则 。InTimeRange 是 一 个 函数 ， 用 于 判断 给 定 的 时 间 在 不 在 指定 的 时 
间 范 围 内 。 

2) IDS 事件 确认 (Validate(evt.dstIp,evt.technology)AND evt.dvcType=’IDS’ ); 该 规则 表 
示 的 含义 是 如 果 事 件 的 目标 IP 所 表示 的 终端 会 被 该 事件 记录 的 攻击 手段 侵害 上 且 事 件 的 设备 
类 型 为 IDS 时 规则 被 匹配 。Validate 是 一 个 函数 ， 用 于 判断 指定 IP 所 表示 的 终端 是 否 会 被 指 
定 的 技术 侵害 ， 该 函数 在 实现 时 会 读 取 终端 当前 的 安全 状态 信息 及 安全 事件 技术 与 漏洞 补丁 
的 关系 ， 综 合计 算出 是 否 被 侵害 的 结论 。 

(2) 多 个 相关 安全 事件 ---- 基 于 状态 机 的 关联 分 析 方 法 

基于 状态 机 的 关联 分 析 方 法 是 一 种 基于 有 限 状 态 机 (Finite-State Machine, FSM) 理论 的 
事件 分 析 方 法 。 有 限 状 态 机 是 一 种 表示 有 限 个 状态 以 及 在 这 些 状 态 之 间 的 转移 和 动作 等 行为 
的 数学 模型 。 状 态 用 于 存储 关于 过 去 的 信息 ， 即 它 反映 从 系统 开始 到 现在 的 输入 变化 。 转 移 
指示 状态 变更 ， 它 使 用 转移 发 生 时 必须 满足 的 条 件 来 进行 描述 。 动 作 是 在 给 定时 刻 要 进行 的 
活动 的 描述 。 有 多 种 类 型 的 动作 。 

w 进入 动作 (Entry Action) 在 进入 状态 时 进行 

v 退出 动作 ”在 退出 状态 时 进行 

v 输入 动作 ”依赖 于 当前 状态 和 输入 条 件 进 行 

v 转移 动作 ”在 进行 特定 转移 时 进行 
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FSM 可 以 使 用 图 11-1 那样 的 状态 图 (或 状态 转移 图 ) 来 表示 。 


图 11-1 开关 门 的 状态 图 
采用 基于 状态 机 的 关联 分 析 方 法 来 实现 多 个 相关 安全 事件 的 分 析 模 型 。 如 在 11.2 


节 中 多 个 相关 安全 事件 中 提 到 的 DDOS 事件 确认 模型 。 图 11-2 是 该 模型 假定 的 网 络 拓 
扑 图 。 


Internet 


IDS 
图 11-2 网 络 拓扑 图 
将 该 模型 表示 为 图 11-3 所 示 的 状态 机 图 。 


图 11-3 ”状态 机 图 


1) 状态 S0 表示 状态 机 的 初始 状态 ， 即 没有 任何 安全 事件 触发 状态 机 的 状态 。 

2) 状态 S1 表示 收 到 了 IDS 报 出 的 一 个 目标 为 终端 T 的 DDOS 相关 的 安全 事件 。 

3) 状态 S2 表示 收 到 了 在 IDS 报告 事件 之 后 一 段 时 间 里 防火 墙报 出 的 目标 为 终端 T 的 
N 个 通信 连接 。 

4) 状态 S3 表示 终端 工 的 CPU 利用 率 超 过 了 80%。 该 状态 是 整个 状态 机 的 接收 状态 ， 
此 时 状态 模型 规约 并 会 滚 回 S0 的 状态 。 
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5) E0 表示 当 一 个 IDS 报 出 的 DDOS 相关 的 安全 事件 。 

6) El 表示 有 NN 个 由 防火 墙报 出 的 通信 事件 ， 其 目的 与 E0 报 出 的 安全 事件 的 终端 他 一 
致 。N 为 常数 ， 在 具体 应 用 时 可 以 设置 ， 如 可 以 设 为 10 个 ， 即 表示 收 到 10 个 目标 IP 为 终 
端 耻 的 通信 连接 就 满足 条 件 了 。 

7) E2 表示 有 CPU 利用 率 超过 80% 的 安全 事件 的 IP 地 址 与 E0 报 出 的 终端 IP 地 址 
一 致 。 

8) E3 表示 状态 在 NGN 为 可 设 定 的 常数 ， 同 E1) 秒 内 若 不 能 迁 转 到 下 一 状态 ， 则 状态 超 
时 ， 状 态 迁 转 为 S0。 

本 模型 中 ， 当 状态 S0 收 到 了 IDS 报告 的 DDOS 安全 事件 后 迁 转 到 状态 S1。 Sl 有 两 个 
迁 转 条 件 ， 一 个 是 满足 El1 当 有 NI1 个 防火 墙 通信 事件 发 生 时 ， 一 个 是 满足 E3 在 N2 秒 后 超 
时 。 若 在 N2 秒 的 范围 内 ， 没 有 N1 个 安全 事件 发 生 ， 则 S1 满足 E3 的 迁 转 条 件 ， 状 态 迁 转 
到 S0 状态 而 不 是 S2 状态 。 这 个 迁 转 表示 已 发 生 的 这 些 安全 事件 不 符合 该 安全 分 析 模 型 。 若 
在 N2 秒 的 范围 内 有 N1 个 安全 事件 发 生 ， 则 S1 状态 在 第 N1 个 事件 发 生 时 立刻 迁 转 到 S2 
状态 ， 并 在 S2 状态 等 待 迁 转 条 件 被 满足 ， 要 么 迁 转 到 S3 状态 ， 要 么 迁 转 到 S0 状态 。 在 本 
模型 中 ， 只 有 当 状 态 机 到 达 S3 状态 时 ， 才 认为 这 些 安全 事件 符合 安全 分 析 模 型 ， 并 可 最 终 
确认 IDS 报 出 的 DDOS 事件 是 一 个 会 影响 终端 风险 的 安全 事件 。 

基于 状态 机 的 关联 分 析 方 法 需要 支持 灵活 的 语法 描述 ， 方 便 不 断 添加 新 发 现 和 总 结 的 
风险 分 析 模 型 。 其 语法 应 完全 文 持 有 限 状 态 机 中 列举 的 概念 ， 应 包括 状态 的 定义 、 迁 转 条 
件 的 定义 以 及 动作 的 定义 。 状 态 定义 语法 需要 支持 一 个 状态 可 以 迁 转 到 不 同 的 状态 上 。 迁 
移 条 件 定义 语法 需要 支持 在 条 件 设 置 中 引用 状态 信息 ， 需 要 支持 AND、OR、NOT 等 逻辑 
运算 及 逻辑 运算 的 风 套 应 用 ， 还 需要 支持 “=”、“<>”、“>”、“>=”、“<”、“<=”、 
“BETWEEN..AND”“IS” “IN”“LIKE” 及 正则 表达 式 等 匹配 运算 。 男 外 ， 对 于 尚未 包 
含 的 匹配 条 件 可 以 通过 函数 方式 进行 扩展 。 最 后 还 需要 支持 超时 定义 。 行 为 定义 语法 需要 
支持 有 限 状态 机 所 描述 的 四 种 行为 发 生 条 件 的 设置 。 支 持 行为 内 容 的 函数 方式 扩展 ， 并 可 
将 状态 信息 作为 参数 传 给 函数 。 

基于 状态 机 的 关联 分 析 方 法 需要 能 同时 支持 多 个 状态 机 分 析 模 型 并 行 运行 。 需 要 拥有 恨 
好 的 执行 效率 和 稳定 性 。 需 要 能 够 设置 每 个 状态 分 析 模 型 的 实例 对 象 数 目 ， 防 止 因 状 态 机 对 
象 实例 数目 过 多 导致 系统 内 存 耗 尽 而 引起 系统 工作 异常 。 

(3) 海量 安全 事件 ---- 基 于 多 维 数据 的 分 析 方 法 

基于 多 维 数据 分 析 的 方法 是 一 种 以 数据 库 或 数据 仓库 为 基础 的 数据 分 析 方 法 ， 也 称 为 联 
机 分 析 处 理 (On-Line Analytical Processing, OLAP)。 联 机 分 析 处 理 (OLAP) 的 概念 最 早 是 由 关 
系数 据 库 之 父 E. E_ Codd 于 1993 年 提出 的 。 当 时 ，Codd 认为 联机 事务 处 理 (OLTP) 已 不 能 满 
足 终 端 用 户 对 数据 库 查 询 分 析 的 需要 ，SQL 对 大 数据 库 进 行 的 简单 查询 也 不 能 满足 用 户 分 析 
的 需求 。 用 户 的 决策 分 析 需 要 对 关系 数据 库 进行 大 量 计算 才能 得 到 结果 ， 而 查询 的 结果 并 不 
能 满足 决策 者 提出 的 需求 。 因 此 Codd 提出 了 多 维 数据 库 和 多 维 分 析 的 概念 , 即 OLAP。 

OLAP 数据 库 分 为 一 个 或 多 个 多 维 数据 集 ， 每 个 多 维 数据 集 也 被 称 为 立方 体 。 它 是 数据 
的 集合 ， 通 常 从 数据 仓库 的 子 集 构 造 ， 并 组 织 成 一 个 一 组 维度 和 度量 值 定 义 的 多 维 结果 。 多 
维 数据 集 包 含 以 下 几 个 主要 概念 。 

v 维 (Dimension) 是 人 们 观察 数据 的 特定 角度 ， 是 考虑 问题 时 的 一 类 属性 ， 属 性 集合 
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构成 一 个 维 《〈 时 间 维 、 地 理 维 等 ) 
v 维 的 层次 (Level) 是 人 们 观察 数据 的 某 个 特定 角度 《〈 即 某 个 维 ) 还 可 以 存在 细节 程 
度 不 同 的 各 个 描述 方面 《时 间 维 : 日 期 、 月份、 季度 、 年 ) 
v 维 的 成 员 〈Member) 是 维 的 一 个 取 值 ， 是 数据 项 在 某 维 中 位 置 的 描述 。(“ 茶 年 某 月 
某 日 ”是 在 时 间 维 上 位 置 的 描述 ) 
度量 值 (Measure) 是 多 维 数 组 的 取 值 (2000 年 1 月， 上海 ， 登 录 ，100KB) 
事实 表 是 度量 值 所 在 的 表 
维度 表 是 包含 维度 信息 的 表 
联机 分 析 处 理 的 主要 分 析 操 作 有 钻 取 (Drill-up 和 Drill-down)、 切 片 〈Slice) 和 切 块 
(Dice)、 以 及 旋转 〈Pivot) 等 。 
v 钻 取 是 改变 维 的 层次 ， 变 换 分 析 的 粒度 。 它 包括 同 下 钻 取 (Drill-down) 和 癌 上 钻 取 
CDrill-up) /上 卷 (Roll-up)。Drill-up 是 在 某 一 维 上 将 低层 次 的 细节 数据 概括 到 高 层次 
的 汇总 数据 ， 或 者 减少 维 数 ; 而 Drill-down 则 相反 ， 它 从 汇总 数据 深入 到 细节 数据 
进行 观察 或 增加 新 维 
v 切片 和 切 块 是 在 一 部 分 维 上 选 定 值 后 ， 关 心 度 量 数据 在 剩余 维 上 的 分 布 。 如 采 剩 余 
的 维 只 有 两 个 ， 则 是 切片 ， 如 果 有 三 个 或 以 上 ， 则 是 切 块 
v 旋转 是 变换 维 的 方向 ， 即 在 表格 中 重新 安排 维 的 放置 〈 例 如 行列 互 换 ) 
利用 多 维 数据 分 析 方 法 来 实现 11.2 市 海量 安全 事件 中 提 到 的 各 种 终端 风险 分 析 模 型 。 根 
据 风 险 分 析 模 型 抽取 模型 可 能 的 维度 ， 如 11.2 节 中 提 到 的 关于 时 间 的 统计 和 关于 安全 事件 类 
型 的 统计 等 。 将 时 间 和 安全 事件 类 型 作为 两 个 维度 ， 并 构建 与 其 相关 的 维度 表 。 修 正 11.1 数 
据 准 备 小 节 中 提 到 的 数据 准备 过 程 ， 让 每 一 个 归 一 化 后 的 数据 都 包含 与 维度 表 相 关 的 维度 信 
恩 。 修 订 安 全 事件 表 的 结构 ， 存 储 安全 事件 ， 并 将 这 张 表 看 作 是 安全 事件 的 事实 表 。 利 用 
OLAP 数据 库 工 具 ， 在 工具 中 建立 维度 表 与 事实 表 的 关系 ， 将 维度 表 与 事实 表 的 数据 导入 多 
维 数据 模型 ， 生 成 多 维 数 据 集 。 结 合 多 维 数 据 展示 工具 及 多 维 表达 式 (MultiDimensional 
Expressions，MDX)， 对 多 维 数据 进行 钻 取 、 切 片 、 切 块 等 分 析 操 作 ， 实 现 基 于 海量 安全 事件 
的 终端 安全 风险 统计 分 析 。 
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12.1 行业 化 的 需求 


本 节 主 要 介绍 几 个 比较 典型 的 行业 信息 化 建设 过 程 中 对 于 终端 安全 风险 的 处 理 情况 ， 包 
括 政府 部 门 、 公 检 法 行业 、 大 型 商业 企业 、 能 源 行业 等 。 

政府 部 门 的 信息 化 建设 往往 目标 和 规划 变化 比较 频 系 ， 但 是 每 个 阶段 都 是 以 国家 总 体 规 划 为 
基础 原则 。 各 级 行政 区 域 的 政府 部 门 ， 对 于 信息 化 的 建设 十 分 重视 ， 并 且 强 调 所 在 区 域 的 互联 互 
通 ， 因 此 相对 的 信息 来 源 和 信息 交互 非常 频繁 。 在 这 种 情况 下 ， 对 终端 的 管理 往往 要 以 使 用 者 为 
单位 进行 重点 区 分 ， 区 分 使 用 者 的 号 份 、 数 据 碍 询 的 权限 、 数 据 操 作 的 权限 、 信 息 传 递 的 审计 和 
监控 。 政 府 部 门 有 健全 的 行政 管理 体系 ， 对 于 设备 和 人 员 的 管理 很 细致 ， 分 级 和 分 类 都 很 清晰 ， 
设备 的 针对 性 很 强 ， 较 少 出 现 一 机 多 用 的 情况 ， 甚 至 可 以 实现 按 需 分 配 使 用 不 同 设备 ， 从 根本 上 
提高 了 设备 使 用 的 安全 性 ， 减 少 了 交叉 使 用 和 工作 距 急 带 来 的 风险 。 但 是 政府 部 门 的 人 员 往 往 旷 
兼 多 职 ， 且 权限 较 蜗 ， 所 涉及 信息 蜂 领 域 购 情况 也 非常 普 壳 ， 因 此 对 于 人 员 喘 份 的 识别 和 行为 的 
审计 在 终端 的 管理 过 程 中 显得 尤为 重要 ， 但 是 对 于 操作 的 限制 较 少 ， 功 能 的 管控 不 多 。 

公检法 行业 的 信息 化 建设 规范 很 明确 ， 行 业 的 分 布 式 倾 问 很 强 ， 工 作 内 容 也 比较 敏感 ， 
对 于 信息 安全 要 求 极 高， 往往 需要 物理 隔离 不 同 的 网 络 。 公 检 法 的 工作 时 间 比 较 有 弹性 ， 因 
此 工作 时 段 比 较 难 以 明显 限定 ， 而 且 移动 办 公 情 况 较 多 ， 数 据 的 传递 情况 非常 频繁 ， 而 且 不 
同 的 人 员 即 使 是 在 相同 的 部 门下 都 会 存在 较 大 的 送别 ， 数 据 会 要 求 严格 区 分 读 / 写 权限 并 且 
征 以 使 用 者 为 单位 。 公 检 法 行业 在 追求 工作 效率 方面 ， 强 调 安 全 为 基本 原则 ， 但 是 工作 流程 
不 可 以 任意 调整 ， 相 关 的 工作 制度 和 规范 都 有 国家 的 统一 标准 ， 因 此 即使 在 分 布 式 的 管理 模 
式 下 也 是 如 此 ， 而 各 个 区 域 的 管理 也 都 能 够 保持 相对 的 一 致 。 从 已 知 的 成 功 案例 中 ， 可 以 发 
现 适 合 该 行业 的 信息 化 ， 通 常 都 把 工作 重点 放 在 信息 安全 方面 ， 尤 其 是 移动 办 公 的 安全 性 和 
移动 存储 介质 的 管理 ， 在 强调 人 员 的 个 人 身份 认证 和 识别 基础 上 ， 要 求 相 关 信 息 的 操作 时 男 
外 需要 权限 的 认证 和 工具 的 操作 口令 判断 。 该 行业 属于 典型 的 以 强制 流程 和 规范 保护 信息 安 
全 ， 即 使 工作 效率 受到 影响 ， 也 要 保 隐 工 作 秘密 的 安全 性 。 

大 型 商业 企业 的 信息 化 建设 由 于 起 步 不 同和 风格 不 同 ， 往 往 千 差 万 别 ， 以 电子 商务 类 公 
司 为 例 ， 工 作业 务 不 可 避免 地 与 互联 网 进行 直接 接触 ， 无 须 像 上 两 个 行业 一 样 进 行 网 络 的 物 
理 陋 离 ， 受 到 国家 制度 和 规范 的 影响 较 小 ， 因 为 国家 较 少 直接 对 企业 进行 制度 和 规范 性 的 要 
求 ， 没 有 明确 的 指标 限制 。 不 过 也 正 因 如 此 ， 导 致 终端 面临 的 安全 问题 十 分 严峻 ， 网 络 攻击 
和 病毒 木马 的 侵袭 ， 信 息 的 外 泄 和 丢失 屡见不鲜 。 商 业 企业 以 追求 利益 为 前 担 ， 毛 面 强调 安 
全 会 失去 信息 化 建设 的 意义 。 因 此 在 保障 工作 的 基础 上 ， 进 行 终端 的 安全 管控 ， 这 在 很 大 程 
度 上 是 对 管理 工作 的 灵活 性 提出 了 更 高 的 有 要求。 管理 策略 的 阶段 性 变化 是 企业 信息 化 建设 中 
不 可 忽略 的 重点 ， 企 业 目 身 的 建设 通常 是 强调 效率 全 上 和 利益 优先 ， 终 端的 管理 应 该 尽 可 能 
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配合 ， 不 应 该 成 为 阻碍 ， 更 不 能 制约 企业 的 发 展 。 

能 源 行业 属于 大 型 商业 企业 的 特例 ， 尤 其 是 国有 大 中 型 企业 ， 特 点 很 鲜明 ， 风 格 介 于 政 
府 和 一 般 商 业 企业 之 间 ， 既 有 国家 安全 制度 和 规范 的 约束 ， 也 有 企业 退 求 效率 和 利益 的 压力 ， 
在 这 两 者 间 直 接 的 平衡 是 该 行业 面临 的 重要 问题 。 国 家 安全 制度 和 规范 是 能 源 行业 的 终端 安全 
管理 基础 ， 是 国有 大 中 型 企业 立足 的 根本 和 长 远 发 展 的 必要 保障 ， 效 率 和 利益 的 压力 是 国有 大 
中 型 企业 生存 和 成 长 的 重要 支柱 。 该 行业 的 终端 安全 管理 属于 应 用 终端 安全 管理 最 典型 的 情 
况 ， 管 控 措 施 非 常 细 ， 阶 段 性 调整 非常 大 ， 对 于 整体 规划 和 安全 管理 的 灵活 性 要 求 很 高 。 

终端 安全 管理 作为 一 个 泛 化 的 谍 题 ， 不 好 脱离 实际 去 研究 其 理论 上 的 意义 ， 因 为 终端 的 
灵活 性 和 针对 性 只 有 在 对 应 的 行业 内 才 具 有 实际 意义 。 

终端 安全 管理 的 目的 是 保障 终端 的 安全 发 展 ， 只 有 实现 终端 的 安全 发 展 ， 才 能 最 大 限度 
地 体现 终端 的 价值 。 所 以 ， 需 要 研究 的 是 选择 最 有 效 的 方式 实施 终端 安全 管理 ， 寻 找 最 有 效 
的 途径 来 实现 终端 安全 管理 目的 。 经 过 终端 安全 的 多 年 及 展 ， 各 个 行业 形成 自 有 的 特色 ， 了 妇 
是 发 展 的 进步 ， 也 是 能 力 的 提升 。 这 期 间 ， 终 端 安 全 管理 的 行业 特点 更 加 明显 ， 终 端 行业 化 
管理 已 形成 发 展 趋势 ， 成 为 实现 终端 安全 管理 目的 有 效 途 径 的 必然 选择 。 

终端 行业 化 管理 的 意义 ， 在 于 明确 终端 在 实际 使 用 中 的 具体 应 用 边界 和 范围 ， 根 据 终端 
的 用 途 形成 分 类 的 行业 制度 和 规范 ， 结 合 行 业 特点 和 需求 制定 终端 安全 管理 的 规划 ， 避 人 免 由 
于 泛 化 的 安全 管理 概念 阻碍 行业 的 自身 发 展 。 终 端 行业 化 管理 的 途径 也 是 它 的 目标 ， 就 是 构 
建 终端 行业 化 管理 体系 ， 通 过 行业 制度 和 规范 来 保障 终端 的 安全 发 展 。 

终端 行业 化 管理 不 是 简单 的 人 力 投 入 或 者 设备 投入 ， 而 是 要 实现 人 员 的 思想 和 工作 模式 
转变 ， 使 之 达到 有 效 的 管理 。 而 有 效 的 管理 是 建立 在 大 量 数据 和 信息 的 分 析 基 础 之 上 。 管 理 
方法 再 先进 ， 没 有 足够 的 技术 和 工具 文 撑 ， 都 是 无 意义 的 空谈 ， 这 就 对 终端 安全 管理 工具 提 
出 了 较 高 的 要 求 。 但 是 仅仅 依赖 工具 去 实现 终端 行业 化 管理 ， 又 会 走 回 以 往 失败 建设 的 老路 
上 去 。“ 学 而 不 思 则 浆 ， 思 而 不 学 则 殉 ”， 想 要 实现 行 之 有 效 的 管理 ， 离 不 开 信息 化 手段 的 文 
撑 ， 要 通过 搭建 相应 的 平台 ， 设 定 科 学 严谨 的 管理 流程 ， 形 成 一 个 完整 的 管理 循环 ， 使 得 管 
理工 作 在 不 断 地 循环 中 变 得 更 加 完善 。 

具体 来 讲 ， 终 端 行业 化 管理 需要 通过 终端 防护 平台 和 终端 安全 管理 平台 两 部 分 来 实现 ， 
终 剖 防护 平台 负责 终端 的 具体 信息 采集 和 安全 防护 措施 应 用 ， 终 端 安全 管理 平台 负责 数据 的 分 
析 和 管理 的 调整 。 从 风险 的 视角 来 看 ， 已 知 可 控 风 险 在 防护 平台 上 进行 发 现 和 预防 ， 经 过 监控 
进行 整理 和 汇总 ， 在 管理 平台 进行 分 类 分 级 的 处 理 和 分 析 ， 通 过 整体 趋势 的 判断 和 控制 ， 以 及 
重点 风 险 的 实时 掌控 ， 重 要 人 员 和 重要 设备 的 专项 关注 ， 形 成 安全 策略 的 调整 ， 进 行 终端 安全 
管理 的 细节 调整 。 从 管理 工作 的 视角 来 看 ， 防 护 平 合 和 管理 平台 区 分 管理 工作 的 重心 ， 防 护 平 
台 侧 重 在 终端 的 细节 管控 ， 包 括 终 端的 基础 安全 、 运 行 安全 和 信息 安全 ， 对 于 网 络 的 安全 和 设 
备 安全 实时 监控 和 分 析 ， 对 于 特殊 情况 和 个 别 情况 的 村 列 和 直接 处 理 ， 管 理 平 台 侧 重 在 区 域 的 
安全 态势 ， 对 于 安全 的 整体 要 求 和 发 展 发 现 进行 规划 、 调 整 和 评价 ， 不 同 的 工作 平台 需要 的 工 
作 技 能 不 同 ， 对 应 的 工作 视角 和 工作 要 求 也 不 同 ， 各 目 思 考 问题 的 层面 和 思路 也 是 不 同 的 。 


12.2 行业 化 管理 的 技术 支撑 


行业 化 终端 安全 防护 的 管理 内 容 是 针对 终端 资产 的 安全 风险 进行 的 ， 各 行业 同类 终端 资 
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产 在 其 业务 专 网 中 所 面 对 的 安全 风险 基本 相同 。 其 差异 
对 象 终端 资产 因 不 同 的 行业 略 有 差别 ， 行 业 业务 相关 部 
税务 系统 的 专用 业务 吕 盘 、 公 安 的 干警 身份 证 书 等 。 

税务 系统 的 专用 业务 U 得 是 面向 非 税务 系统 内 部 的 人 员 使 用 的 ，U 各 的 使 用 范围 主要 是 
税务 信息 申报 的 各 个 单位 和 个 人 ， 而 使 用 的 环境 和 终端 与 税务 系统 本 身 无 关 ， 且 无 法 进行 统 
一 的 管理 和 约束 。 因 此 税务 系统 的 专用 业务 U 盘 ， 属 于 典型 的 外 用 型 工具 。 这 种 外 用 型 工 
具 ， 使 用 环境 复杂 ， 使 用 方式 比较 难以 进行 规范 ， 但 是 ， 在 传递 到 税务 系统 之 后 ， 仍 需要 再 
进行 信息 的 传递 ， 这 就 是 为 什么 要 采用 专用 业务 U 盘 的 意义 ， 因 为 管理 上 的 要 求 往往 需要 技 
术 的 配合 ， 技 术 上 如 果 不 能 够 满足 ， 则 管理 上 的 要 求 往往 形同虚设 。 专 用 业务 U 得 是 可 以 区 
分 出 使 用 者 和 使 用 范围 的 ， 在 安全 的 使 用 环境 中 ， 是 会 提前 进行 安全 检查 ， 并 且 记录 操作 行 
为 ， 而 且 当 专用 业务 U 盘 使 用 在 非 指定 的 环境 中 ， 可 以 像 普通 U 得 一 样 进行 操作 ， 既 解决 
了 兼容 性 的 问题 ， 又 可 以 提高 安全 性 ， 

公安 的 干警 身份 证 书 是 面 对 公安 内 部 人 员 使 用 的 ， 主 要 使 用 范围 是 公安 内 部 的 设备 ， 可 
以 区 分 人 员 身 份 ， 进 行 快速 识别 和 认证 。 这 就 要 求 公 安 内 部 设备 具备 该 身份 证 书 的 认证 能 
力 ， 可 以 区 分 和 判断 该 身份 证 书 的 使 用 权限 ， 并 且 记 录 下 该 身份 证 书 认证 之 后 所 进行 的 操 
作 ， 用 于 事后 的 审计 。 该 身份 证 书 在 其 他 设备 上 应 访 具 备 自我 保护 功能 ， 避 免 被 复制 和 破 
解 ， 使 之 能 够 达到 自身 安全 防护 的 效果 。 

终端 安全 防护 平台 的 主要 功能 在 各 行业 具有 通用 性 ， 与 其 特定 资产 相关 部 分 略 有 不 同 ， 
主要 表现 在 接 入 参数 和 防护 内 容 。 例 如 税务 行业 的 信息 化 要 求 比较 高 ， 相 关 的 信息 维护 很 到 
位 ， 可 以 实现 所 有 设备 的 先 登记 后 接 入 ， 完 整地 实现 终端 设备 的 全 生命 周期 管理 ， 在 终端 防 
护 过 程 中 就 可 以 实现 每 个 阶段 的 关联 处 理 和 跟踪 审计 。 


机 行业 化 管理 模式 


组 织 机 构 的 规划 是 行政 体系 建设 中 的 核心 ， 不 同 的 组 织 机 构 在 工作 职能 、 工 作 方式 上 有 
独 一 定 的 送 异 ， 这 种 差异 就 为 机 构 提 供 了 选择 自己 适合 的 模式 的 方法 ， 根 据 国 内 企 、 事 业 单 
位 行业 职能 的 不 同 ， 管 理 模式 有 一 定 的 区 分 ， 总 体 上 包含 以 下 3 种 : 垂直 管理 、 分 布 式 管 


理 、 混 合 型 管理 。 
12.3.1 ”入 百 管 


垂直 管理 体现 了 管理 体系 的 直接 性 和 整体 性 ， 通 常 这 种 管理 模式 出 现在 管理 体系 建设 的 
初期 或 者 管理 要 求 很 集中 的 地 方 ， 管 理 建设 的 初期 特别 是 从 上 至 下 建立 的 时 候 ， 下 级 管理 往 
往 很 不 完善 ， 需 要 上 级 的 直接 管控 ， 下 级 仅 需 要 处 理 信息 的 收集 和 上 报 ， 业 务 独立 上 且 应 用 很 
少 与 其 他 业务 交叉 ， 基 本 上 呈现 上 下 两 层 的 管理 模式 ， 下 层 管理 模式 虽然 也 可 以 继续 分 层 ， 
但 是 并 不 具备 管理 能 力 ;， 而 管理 要 求 很 集中 的 地 方 ， 往 往 强调 对 下 层 的 监管 ， 例 如 政府 职能 
部 门 实行 垂直 管理 ， 就 意味 着 脱离 地 方 政府 管理 序列 ， 不 受 地 方 政 府 监督 机 制约 束 ， 直 接 由 
高 一 级 或 者 更 高 级 别 的 主管 部 门 统筹 管理 “人 、 财 、 物 、 事 ”。 不 同 部 门 的 垂直 管理 机 制 在 
具体 运作 过 程 中 ， 还 有 很 多 差别 ， 如 部 分 业务 职能 独立 出 来 实行 垂直 管理 ， 不 是 全 部 事务 实 
行 牌 直 管 理 ， 垂 直 管 理 层 延伸 到 地 级 市 、 区 县 或 者 乡镇 街道 。 图 12-1 为 典型 的 职能 体系 中 
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图 12-1 职能 体系 中 的 垂直 型 结构 管理 模式 


12.3.2 ”垂直 管理 实例 


垂直 管理 是 一 种 重要 的 组 织 的 管理 形式 ， 目 前 在 多 个 行业 的 部 门 中 采用 牌 直 的 管理 模式 
进行 管理 ， 上 级 部 门 对 下 级 各 机 构 具 有 绝对 的 领导 与 管理 权力 ， 这 种 模式 能 较 好 体现 上 级 指 
令 下 达 的 及 时 性 和 快速 反应 的 特点 ， 同 时 也 存在 下 级 机 构 不 受 同 级 行政 机 构 的 管理 ， 具 有 较 
大 的 自由 度 和 管理 困难 等 问题 。 

终端 管理 平台 在 职能 体系 为 垂直 管理 的 行业 中 ， 受 其 行业 自 喘 的 行政 化 管理 体系 差异 以 
及 行业 中 的 管理 特点 ， 也 较 多 采用 垂直 管理 的 方式 管理 平台 部 普 在 总 部 节点 ， 所 有 分 文 节点 
均 为 接 入 节点 。 忆 部 节点 承担 全 部 的 管理 功能 ， 接 入 市 点 作 为 整个 系统 的 数据 采集 点 或 共 至 
数据 的 使 用 者 。 

以 国税 行业 为 例 ， 终 端 安全 防护 平台 和 管理 平台 的 部 署 方式 是 管理 平台 部 署 在 系统 中 心 
位 置 ， 防 护 平 台 部 车 在 各 级 节点 位 置 ， 所 有 安全 防护 平台 作为 监视 、 防 护 数 据 的 接 入 端 接 入 
总 部 终端 安全 管理 平台 。 安 全 管理 策略 由 总 部 统一 制定 ， 并 通过 系统 下 发 。 监 控 数据 和 防护 
结果 信息 上 传 至 总 部 安全 管理 中 心 进行 统一 存储 和 处 理 。 中 心 节点 直接 对 二 三 级 节点 的 防护 
平台 下 发 安全 策略 ， 下 发 的 策略 类 型 分 为 3 类 : 碍 询 策略 、 关 联 分 析 策 略 、 预 警告 警 委 略 。 
查询 策略 是 系统 中 与 查询 相关 的 所 有 人 胰 略 信息 ， 关 联 分 析 策 略 是 关联 分 析 场 景 相关 策略 信息 
的 集合 ， 预 警告 警 信息 策略 是 产生 预警 信息 的 各 种 冰 值 配置 的 内 容 ， 二 三 级 节点 根据 人 策略 执 
行 的 情况 ， 实 时 间 中 心 节点 上 报 结果 信息 ， 中 心 节 点 管理 员 完 成 全 局 终端 的 状态 监控 和 策略 
制定 ， 二 三 级 节点 的 管理 员 仅 完成 本 地 防护 平台 的 系统 维护 。 访 项目 中 垂直 管理 体现 在 下 发 
终端 进程 监控 告警 与 统计 分 析 策 略 上 ， 通 过 安全 管理 中 心 ， 统 一 同 所 有 的 下 级 节点 下 发 该 策 
上 略 ， 当 终端 发 现 有 违规 的 进程 运行 ， 系 统 发 生 告 警 并 同时 将 告警 信息 实时 上 传 至 管理 平台 中 
心 ， 管 理 中 心经 过 集中 分 析 引 擎 ， 统 计 出 进程 违规 运行 最 多 的 终端 ， 并 结合 管理 制度 与 操作 
流程 进行 相应 的 处 置 。 以 中 心 同 二 、 三 级 终端 下 发 策略 的 垂直 管理 方式 ， 达 到 了 策略 多 点 快 
速 下 发 、 信 息 迅速 集中 反馈 的 效果 ， 为 安全 管理 工作 高 效 开 展 提 供 了 有 效 的 支撑 。 中 心 与 下 
级 的 信息 传递 方式 参见 图 12-2。 
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图 12-2 垂直 管理 示意 图 


12.3.3 分布 式 管理 


相对 的 ， 采 用 分 布 式 管理 机 制 的 行业 的 职能 部 门 通常 实行 地 方 和 上 级 的 “双重 领导 ”， 
上 级 主管 部 门 负责 管理 业务 “事权 ” 地方 负责 管理 “人 、 财 、 物 "， 且 纳入 同 级 相关 部 门 监 
督 。 分 布 式 管理 模式 往往 出 现在 从 下 至 上 的 管理 建设 初期 ， 每 个 下 级 自行 建设 ， 强 调 区 域 自 
我 管控 。 这 种 管理 模式 也 出 现在 管理 要 求 相对 分 散 的 地 方 ， 例 如 联合 国 的 管理 模式 就 很 典 
型 ， 分 布 式 保护 各 级 和 各 个 区 域 的 内 部 完整 性 ， 上 级 对 下 级 不 直接 进行 干预 。 但 是 得 益 于 整 
体 框架 ， 又 可 以 保证 互相 之 间 的 连通 性 和 结构 性 ， 达 到 分 散 管理 的 目的 。 图 12-3 为 典型 的 
职能 体系 中 的 分 布 式 管理 模式 。 
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图 12-3 ”职能 体系 中 的 分 布 式 结构 管理 模式 
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12.3.4 分布 式 管理 实例 


分 布 式 管理 业务 ， 管 理 平 台 和 防护 平台 部 署 在 各 级 节点 上 ， 上 所 有 分 文 节 点 为 管理 及 防护 
功能 完全 的 目 主 节点 。 总 部 节点 仅 承担 全 局 状态 的 展示 ， 下 级 节点 作为 独立 的 管理 防护 节 
点 ， 按 照 谁 运营 谁 管理 的 原则 实现 对 各 级 节点 的 防护 管理 。 

分 布 式 管理 模型 的 终端 管理 系统 ， 各 级 节点 均 部 署 管理 平台 和 防护 平台 ; 监控 数据 和 防 
护 结果 信息 由 各 级 管理 平台 进行 存储 和 处 理 ; 三 级 节点 按 预 定 周期 定期 向 二 级 节点 上 报 状态 
信息 ， 二 级 节点 按 预 定 周期 定期 癌 中 心 节 点 上 报 状态 信息 ; 各 级 管理 员 完成 本 地 终端 的 状态 
监控 的 和 货 略 制定 。 

在 国内 某 军 工 集团 项 目 建设 中 ， 其 行政 管理 上 分 为 集团 、 院 、 厂 三 级 组 织 结构 ， 项 目 涉 及 
集团 及 下 属 各 院 、 厂 所 终端 近 50 000 点 ， 分 布 在 全 国 多 个 省 、 市 、 目 治 区 。 项 目 一 期 ， 针 对 
集团 各 三 所 部 属 终端 防护 与 终端 管理 系统 ， 以 各 三 所 为 单位 ， 目 主 对 内 部 终端 进行 安全 管理 、 
维护 ， 由 服务 需 直 接 对 各 个 终端 下 发 安全 策略 ， 对 终端 接口 、 外 设 、 用 户 打 印 、 刻 录 等 操作 行 
为 进行 安全 管控 。 二 期 项 目 开始 后 ， 建 设 完成 院 管理 平台 与 集团 中 心 管理 平台 。 各 院 级 管理 平 
台 癌 上 连接 集团 中 心 ， 同 下 连接 院内 各 三 管理 平台 ， 各 广内 管理 庙 部 属 为 三 级 管理 平台 继续 使 
用 ， 由 院 信息 中 心 二 级 管理 平台 对 其 下 发 平台 策略 ， 下 属 各 个 广 所 日 志 收 集 上 传 处 理 。 二 期 建 
设 完成 后 ， 在 集团 下 属 院 、 厂 所 本 地 ， 乃 至 全 国 已 初步 形成 分 布 式 管 理 模 式 。 集 团 设立 的 一 级 
平台 ， 限 制 并 明确 二 级 平台 权限 、 策 略 范围 ， 二 级 平台 再 次 在 本 权限 内 对 三 级 平台 下 发 平台 策 
略 ， 设 置 日 志 转 发 模式 。 对 于 终端 日 志 与 报警 信息 ， 全 部 逐 级 转 及 ， 汇 总 至 集团 信息 中 心 进 行 
安全 事件 处 理 。 这 样 就 在 全 国 范围 内 形成 了 一 个 涵 瘟 所 有 终端 ， 分 三 级 部 署 、 管 理 的 分 布 式 终 
端 管理 平台 。 各 个 服务 器 权限 清晰 ， 流 程 明 确 。 分 布 式 管理 模式 参见 图 12-4。 


12.3.5 ”混合 型 管 


混合 管理 模式 即 牌 直 管 理 和 分 布 式 管理 的 结合 。 结 合 的 方式 往往 不 是 固定 的 ， 常 规 的 方 
式 是 非 垂 直 管 理 业 务 由 上 级 指导 ， 当 地 负责 组 织 管理 ， 也 有 一 些 混 合 管理 的 模式 是 部 分 地 区 
由 上 级 直属 管理 ， 其 他 地 区 当地 上 自行 管 理 。 混 合 管理 模式 是 在 垂直 管理 和 分 布 式 管理 中 找寻 
一 种 合适 的 解决 方案 ， 通 过 变通 两 者 的 管理 模式 达到 管理 要 求 的 平衡 点 。 这 种 管理 模式 往往 
征 根 据 实 际 情况 进行 的 必要 调整 ， 有 时 也 是 灵活 的 管控 调整 ， 尤 其 是 相对 规模 比较 大 的 和 管 
理 要 求 相 对 比较 复杂 的 行业 。 通 过 上 面 的 分 析 ， 不 难看 出 实际 实践 过 程 中 ， 完 全 的 垂直 管理 
和 分 布 式 管理 ， 多 出 现在 管理 模式 建设 的 初期 ， 差 别 在 建设 的 方式 是 从 上 而 下 还 是 从 下 而 
上 ; 而 到 了 建设 的 后 期 ， 都 不 约 而 同 地 转向 了 混合 管理 模式 ， 但 是 这 种 转 同 有 些 是 预先 的 设 
计 ， 有 些 其 实 是 向 现实 妥协 的 结果 。 图 12-5 为 典型 的 职能 体系 中 的 混合 型 管理 模式 : 
垂直 管理 的 特点 就 是 垂直 性 和 相对 独立 性 ， 业 务 运行 基本 上 脱离 同 级 行政 管理 框架 ， 封 
闭 在 系统 的 体系 内 ， 而 且 特 别 强调 业务 的 敏感 性 和 保密 性 。 分 布 式 管理 其 管理 分 布 在 各 个 所 
属 单位 ， 混 合 型 管理 组 织 业务 分 为 垂直 管理 业务 和 非 牌 直 管 理 业务 ， 不 同业 务 具 有 其 不 同 的 
特点 。 行 业 上 自身 的 管理 模式 不 同 ， 必 然 对 各 级 终端 安全 管理 建设 造成 影响 ， 需 要 加 以 综合 
虑 。 管 理 模式 不 是 针对 茶 个 行业 或 者 业务 进行 设计 的 ， 而 古 根据 管理 形态 进行 理论 总 结 的 ， 
因此 不 存在 固定 的 选择 和 搭配 ， 任 何 行业 和 业务 ， 甚 至 在 不 同 的 地 域 和 不 同 的 时 间 段 ， 选 择 
的 管理 模式 都 可 能 是 不 同 的 。 通 过 管理 特点 和 管理 效果 与 实际 管理 要 求 相 结合 ， 选 择 适合 的 
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图 12-4 分布 式 管理 示意 图 
12.3.6 ”混合 管理 实例 


混合 式 管 理 业 务 ， 管 理 平 台 和 防护 平台 部 效 在 各 级 节点 上 。 总 部 节点 承担 全 局 状态 的 展 
示 ， 并 制定 全 局 策略 ， 下 级 节点 接受 全 局 策略 并 根据 本 地 管理 需要 进行 本 地 策略 的 配置 。 

混合 式 式 管理 模型 的 终端 管理 系统 ， 各 级 节点 均 部 效 管 理 平 台 和 防护 平台 ;监控 数据 和 
防护 结果 信息 由 各 级 管理 平台 分 别 进行 存储 和 处 理 ， 并 由 中 心平 台 统 一 展现 ， 三 级 节点 按 预 
定 周 期 定期 加 三 级 节点 上 报 状态 信息 ， 二 级 节点 按 预定 周期 定期 向 中 心 节 点 上 报 状 态 信息 ; 
中 心 管理 员 完 成 全 局 终端 的 状态 监控 的 和 全 局 集 略 制定 ， 二 三 级 管理 员 完 成 本 地 终端 的 状态 
监控 和 本 地 策略 的 制定 。 

os 
台 ， 分 别 由 一 级 、 二 级 管理 平台 对 下 级 平台 进行 策略 制定 ， 通 过 安全 管理 平台 将 策略 下 发 至 
一 旦 意图 违背 策略 规定 “如 : 试图 使 用 被 禁 
的 计算 机 接口 、 连 接 国 际 互联 网 等 )， 报 警 信息 将 上 传 全 上 级 管理 中 心 ， 并 逐 级 上 报 至 位 于 
省 会 城市 的 一 级 管理 平台 ， 一 级 管理 中 心 进行 综合 报警 分 机 、 处 理 ， 一 旦 发 现 二 级 或 三 级 平 
台 出 现 网 络 断 点 ， 一 级 下 全 将 目 动 接 党 断 扣 下 辖 所 有 的 管理 服务 器 及 终端 ， 为 终 并 分 配 应 急 
啊 应 策略 ， 防 止 计算 机 终端 发 生 脱离 管控 现象 。 
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图 12-5 职能 体系 中 的 混合 型 结构 管理 模式 


混合 管理 模式 参见 图 12-6。 
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这 
县 级 平台 . 次 
DR 妥 备 NS 
防护 平台 AN 防护 平台 \ 防护 平台 
县 级 平台 系 管理 平 


、 县 级 平台 县 级 平台 系 、 县 级 平台 具 级 平台 系 Bt 
县 级 站 食 系 管理 平台 数据 存储 可 级 拆 食 系 管 理 平台 数据 存储 如 仅 六 入 系 管理 平 
策略 的 制定 


、 县 级 平台 且 级 亚 么 到 、 县 级 平台 
统 维护 县 级 台数 据 存储 绒 维 护 旬 过 管理 平台 数据 存储 
策略 的 制定 策略 的 制定 策略 的 制定 
图 12-6 混合 管理 模式 示意 图 
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13.1 项 目 背 景 


近年 来 ， 税 务 行业 的 信息 化 建设 突 飞 狐 进 ， 信 息 化 服务 能 力也 有 了 更 进一步 的 提升 。 
在 建设 逐渐 完善 的 业务 系统 过 程 中 ， 伴 随 而 来 的 是 信息 的 安 人 全、 有效、 合理 的 监管 问题 ， 
怎么 管理 好 与 业务 系统 相伴 的 安全 问题 ， 是 关系 到 整个 税务 行业 信息 化 建设 进一步 发 展 的 
重要 因素 。 

江苏 省 地 税 局 作为 税务 行业 信息 化 建设 的 领先 者 之 一 ， 近 年 在 安全 建设 上 取得 了 一 系列 
重大 突破 ， 各 地 市 征管 系统 顺利 完成 了 由 地 级 市 集中 处 理 模 式 向 省 级 集中 人 处 理 模 式 的 转换 。 
省 级 大 集中 系统 的 全 面 上 线 ， 标 志 着 江苏 地 税 税收 管理 最 重要 的 省 级 一 体 化 信息 平台 初步 建 
成 。 随 着 征管 系统 的 管理 机 构 、 工 作 模 式 、 岗 位 职责 、 人 员 分 工 等 变化 ， 征 管 系统 面临 的 安 
全 风险 也 发 生 了 变化 。 从 以 往 各 地 的 风险 仅仅 是 局 部 影响 ， 到 现在 的 互动 影响 ， 各 地 问题 相 
互 交 蔡 ， 范 围 扩 大 ， 继 而 影响 全 省 ， 出 现 了 各 地 小 风险 会 导致 全 局 大 风险 ， 甚 全 可 能 演变 成 
全 省 灾难 性 风险 。 为 了 能 够 系统 地 研究 分 析 各 地 上 自 喘 终端 信息 安全 ， 从 而 达到 保证 省 级 大 集 
中 系统 安全 的 目的 ， 依 据 目 前 安全 规范 要 求 ， 更 需要 重点 关注 大 集中 后 各 地 终端 运行 安全 和 
信息 安全 管控 ， 关 注 应 急 防 范 处 置 ， 解 决 安全 认识 不 到 位 、 技 术 手 段 的 管控 力度 低 、 信 息 资 
料 的 定 密 不 清 、 外 来 人 员 的 监控 不 力 等 问题 。 而 基于 人 工 方式 对 出 现 的 问题 和 风险 进行 排查 
和 处 置 ， 已 无 法 应 对 人 手 少 、 范 围 广 、 事 件 多 的 困难 局 面 ， 更 无 法 适应 面 对 全 省 征管 大 集中 
新 形势 下 的 终端 安全 需要 。 

为 解雇 出 现 的 安全 管理 问题 ， 江 苏 省 地 税 局 计划 建立 终端 安全 管理 体系 ， 建 设 终端 安全 
防护 平台 和 终端 安全 管理 平台 ， 逐 步 形成 具有 地 税 特色 的 功能 成 熟 并 能 切实 发 挥 作用 的 终端 
安全 防护 和 管理 平台 ， 促 进 业 务 与 安全 的 协调 有 发展 ， 满 足 省 级 大 集中 后 全 省 信息 安全 有 效 管 


控 的 需要 。 


本 项 目 希 求 


江苏 地 税 局 在 安全 教育 培训 、 技 术 防 范 、 规 章 制 度 建 立 、 安 全 检查 评估 及 整改 等 方面 做 
了 大 量 的 工作 ， 在 一 定 程度 上 提高 了 终端 安全 管理 水 平 。 但 是 ， 终 端 系统 数量 大 、 应 用 多 ， 
加 之 安全 管理 人 员 少 ,缺乏 完备 的 技术 手段 ， 无 法 掌握 终端 安全 风险 状况 ， 安 全 管理 人 员 难 
以 对 真正 紧急 的 事件 进行 快速 啊 应 。 

因此 ， 江 苏 地 税 局 需要 建立 终端 安全 管理 体系 ， 通 过 完善 相关 管理 制度 、 流 程 、 规 范 组 
织 机 构 职责 、 构 建 终 端 安全 防护 和 安全 管理 平台 实现 以 下 终端 安全 管理 功能 : 

v 实时 对 内 网 终端 的 软 硬 件 、 移 动 介 质 、 接 入 访问 、 补 本 更新、 病毒 防范 等 状况 进行 
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统一 监控 。 
v 实现 对 终端 资产 全 生命 周期 的 管理 
v 采集 终端 安全 相关 安全 事件 和 日 志 信息 ， 进 行 整 合 和 关联 分 析 ， 提 供 终端 安全 态势 
展示 
评估 终端 安全 风险 ， 实 现 终端 全 生命 周期 的 安全 风险 管理 
审计 终端 用 户 行为 ， 重 点 实现 对 第 三 方 接 入 终端 的 用 户 行为 审计 
产生 安全 事故 和 告警 ， 提 供 自动 告警 和 响应 手段 
接收 并 处 理 相关 单位 发 来 的 终端 相关 的 安全 预警 
生成 各 种 安全 报告 并 及 时 进行 应 急 响应 
进行 终端 相关 安全 知识 管理 
为 相关 部 门 的 信息 安全 审计 和 考核 提供 技术 手段 和 依据 ， 实 现 全 内 网 终端 系统 的 安 
全 集中 监控 、 审 计 和 应 急 响 应 ， 全 面 提升 江苏 地 税 内 网 终端 安全 管理 能 力 ， 提 升 江 
苏 地 税 整体 信息 安全 保障 能 力 。 

终端 安全 防护 和 安全 管理 平台 将 是 江苏 地 税 信息 安全 管理 团队 非常 必要 的 技术 支撑 系统 
之 一 。 


13.3 项 目 目标 


基于 终 剖 安全 防护 和 安全 管理 平台 的 建设 落实 在 江苏 地 税 终端 安全 管理 体系 内 ， 实 现 终 
端 安全 管理 工作 的 信息 化 ， 为 全 省 终端 安全 管理 提供 技术 手段 ， 提 高 终端 安全 管理 、 维 护 的 
水 平 ， 优 化 终端 安全 工作 流程 缩短 终端 安全 事件 处 理 的 响应 处 理 时 间 ， 进 而 保障 全 省 税务 
业务 网 络 、 文 撑 网 络 、 业 务 系 统 以 及 整个 信息 化 系统 安全 高 效 的 运行 ， 系 统 有 如 下 的 建设 方 
回 与 目标 。 
v 搭建 终端 安全 防护 和 安全 管理 平台 ， 实 现 三 级 机 构 终端 管理 
Vv 建设 终端 安全 管理 体系 的 基本 组 织 框架 ， 确 保 终端 安全 管理 相关 工作 的 有 效 沙 实 
v 推进 内 网 终端 安全 管理 标准 化 ”对 内 网 终端 的 安全 访问 、 非 法 内 联 、 非 法 外 联 、 补 
了 丁 更 新 、 桌 面 管理 、 病 毒 防范 等 安全 集 略 进行 标准 化 管理 
v 推进 安全 事件 管理 规范 化 ”对 安全 事件 的 采集 、 汇 总 及 处 理 规范 化 管理 ， 规 范 安全 
事件 的 啊 应 措施 
v 终端 安全 策略 框 江 和 策略 脚本 建立 ， 构 建 符合 安全 策略 的 基本 运作 流程 ， 络 合 终端 
安全 防护 和 管理 平台 实现 内 网 终端 安全 维护 管理 流程 化 ， 对 终 端 安全 实施 设备 及 使 
用 的 全 生命 周期 管理 、 风 险 全 过 程 管理 和 重要 风险 系统 管理 ， 并 配合 行政 管理 ， 实 
现 终端 安全 管理 流程 化 管理 
Y 终端 安全 态势 可 视 化 ”对 各 类 安全 事件 进行 统一 展现 ， 从 各 种 角度 进行 分 析 ， 针 对 
不 同 的 安全 事件 ， 提 供 安全 预警 分 析 
v 推进 内 网 终端 运行 管理 目 动 化 ”增强 终端 管理 的 目 动 化 ， 事 件 啊 应 自动化， 安全 告 
警 管理 和 安全 工 单 自 动 派发 
v 实现 内 网 终端 运行 管理 指标 化 ”对 终端 安全 事件 量化 处 理 ， 实 现 终端 运行 监测 点 及 
相关 考核 指标 标准 化 


人 人 人 人 人 人 人 人 人 人、 
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LE 建设 万 法 


江苏 地 税 安全 管理 平台 建设 从 三 个 层面 考虑 : 终端 安全 防护 平台 、 终 端 安全 管理 平台 、 
终端 安全 防护 体系 ， 如 图 13-1 所 示 。 


终端 安全 管理 终端 安全 管理 终端 安全 运 
规 荡 和 策略 和 维护 人 员 作 流程 


[A 
终端 安全 | 加 
管理 系统 | 


终端 安全 


防护 系统 


‘tt - 终端 系统 
终端 用 户 


图 13-1 系统 三 层 示意 图 


终端 安全 防护 平台 负责 终端 信息 的 采集 和 维护 、 终 端 安全 风险 的 管理 和 防护 、 终 端 安全 


事件 的 监测 和 控制 ， 为 管理 平台 提供 所 需要 的 各 类 数据 的 采集 和 传输 。 实 现 各 类 安全 事件 的 
“事前 防范 、 事 中 防御 、 事 后 处 理 ” 的 立体 化 、 流 程 化 防御 ， 是 构建 综合 的 、 完 整 的 内 网 终 
端 安全 防护 体系 的 基础 。 

终端 安全 管理 平台 在 终端 安全 防护 平台 提供 的 数据 基础 上 ， 提 供 安 全 管理 人 员 (系统 管 
理 员 、 安 全 主管 ) 所 需要 的 管理 、 监 控 、 风 险 分 析 功 能 ， 各 类 省 理 报表 的 制作 ， 同 时 满足 
省 、 市 、 县 分 布 式 环境 下 的 行业 安全 管理 要 求 ， 是 构建 完整 的 终端 内 网 安全 管理 体系 的 技术 
文 撑 平 合 。 

终端 安全 管理 体系 由 终端 安全 组 织 体 系 、 终 端 安全 运作 体系 、 终 端 安全 策略 体系 和 终端 安 
全 技术 体系 构成 。 其 中 终 站 安全 技术 体系 主要 由 终端 安全 防护 平台 和 终 问安 全 管理 平台 构成 。 

终端 安全 防护 平台 是 核心 组 件 ， 是 终端 安全 管理 体系 的 基础 部 件 。 

终端 安全 管理 平台 在 采取 集中 监控 管理 的 方式 ， 在 更 高 层面 上 接收 来 目 终端 安全 防护 平 
台 的 安全 事件 和 安全 风险 监测 数据 ， 负 责 对 这 些 事件 进行 深层 的 分 析 、 统 计 和 关联 ， 提 供 处 
理 方法 和 建议 。 

防护 平台 和 管理 平台 采用 联合 部 署 的 方式 ， 可 以 通过 同 机 或 者 双 机 的 方式 进行 部 署 ， 联 
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合 实现 终端 安全 风险 管理 的 有 效 控制 。 由 于 江苏 地 税 的 行业 特性 和 网 络 结构 ， 决 定 了 在 不 同 
的 网 络 类 型 上 采用 不 同 的 部 署 方 式 和 部 署 要 求 。 在 部 署 方式 上 ， 同 机 部 绒 适 用 于 小 型 网 络 
(区 县 级 网 络 )， 双 机 部 署 适 用 于 中 型 网 络 (县 市 级 网 络 )， 多 级 联合 部 萌 适 用 于 大 型 网 络 
(省 市 级 网 络 )， 因 为 不 同 的 网 络 级 别 安全 性 保障 要 求 也 不 同 。 


13.4.1 ”部署 模型 
从 逻辑 上 总 体 架 构 包 括 4 部 分 : 两 个 业务 平台 (安全 防护 和 安全 管理 )、 一 个 业务 支撑 


于 系统 、 一 个 自身 管理 子 系统 ， 见 图 13-2。 
业务 文 撑 子 系统 包括 安全 防护 和 安全 管理 业务 所 需 的 资产 管理 、 认 证 授权 、 报 表 和 工作 


流 引擎 。 


补丁 服务 器 


-一 一 一 


0 i 上 0 上 上 i 
SS CS SS Sd > Sd SS 
省 终端 。 省 终端 ”省 终端 ”省 终端 ”区 终端 ”区 终端 ”区 终端 


em 人 em 
ey Ed i 


S 
补丁 服务 器 。 认证 服务 器 ”终端 防护 平台 数据 库 服务 器 终端 管理 平台 


图 13-2 部 署 示 意图 


自身 管理 支撑 子 系统 包括 健康 管理 、 存 储 管理 、 系 统 审计 和 多 级 管理 。 
小 型 网 络 〈 县 级 网 络 ) 可 以 采用 同 机 部 著 方 式 ， 把 安全 防护 平台 和 安全 管理 平台 部 署 集 
成 ， 解 决 少量 终端 的 网 络 安全 风险 管理 管控 ， 同 时 部 署 补丁 服务 器 。 
中 型 网 络 〈 市 级 网 络 ) 采用 多 级 联合 部 署 方式 ， 防 护 平 台 和 管理 平台 分 开 ， 数 据 库 服务 
侣 独 并 ， 针 对 网 络 情况 选择 指定 方位 部 署 认证 服务 器 和 补丁 服务 器 。 
大 型 网 络 (省 级 网 络 ) 兼容 其 他 终端 安全 管理 系统 (省 局 采用 第 三 方 终 痢 安全 接 入 系 
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统 )， 汇 总 下 级 防护 和 管理 的 数据 ， 统 一 在 安全 管理 平台 进行 分 析 、 挖 掘 和 统计 ， 最 终 形成 
全 局 的 管控 。 


13.4.2 ”部 署 方案 


江苏 省 地 税 终端 安全 管理 体系 平台 的 总 体 结 构 如 图 所 示 。 系 统 由 3 个 层次 组 成 ， 包 括 省 
局 、 地 市 局 《园区 ) 和 县 局 保税区) 终端 安全 防护 与 安全 管理 平台 。 

3 个 层次 组 成 树 形 结构 ， 从 他 辑 上 看 ， 省 局 中 心 节 点 只 有 1 个， 地 市 局 节点 共 15 个 (其 
中 包括 13 个 地 市 局 、 省 局 自身 管理 和 苏州 园区 )， 县 市 点 共 68 个 (其 中 包括 67 个 县 和 1 个 
张家港 保税 区 ); 各 地 市 局 广 点 连接 到 省 局 中 心 节 点 ， 各 县 节点 连接 到 所 属地 市 局 市 点 (其 
中 张家港 保税 区 连接 到 苏州 地 税 局 节点 )， 如 图 13-3 所 示 。 


终 裔 安 从 管理 平公 
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AN 在 线 考核 | 
PF 4g | 
在 线 考核 ,- 策略 管理 | `、 在 线 考核 
六 \ 
i 六 1 \ | 
> I \ 策略 管理 /接收 、 | 
a | N_ 策略 同步 /备份 
策略 管理 /接收 、 策 略 
___ 同 步 /备份 __ 
| 
| 无 锡 市 地 税 局 1 
| 终端 安全 防护 平台 认证 授权 
和 终端 安全 管理 平台 策略 中 心 
人 | 1 1 < 
| | 1 
1 | 上 培 疆 里 | 1 1 1 苏州 工业 园区 
| 所 日志 加 伟 | 在 线 考 村 六 庆 终端 全 防护 平台 
L 策略 接收 、 策 略 备 份 和 终端 安全 管理 平台 
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图 13-3 江苏 省 地 税 终端 安全 防护 与 管理 系统 总 体 部 警示 意图 


省 局 中 心 节 点 : 最 顶层 是 省 局 终端 安全 防护 与 安全 管理 平台 ， 其 中 省 局 终端 安全 防护 平 
台 管 理 全 省 统一 安全 策略 ， 省 局 终端 安全 管理 平台 不 仅 基于 省 局 终端 安全 防护 平台 管理 省 局 
内 网 终端 ， 而 且 是 全 省 终端 安全 管理 平台 的 总 中 心 ， 负 责 全 局 终端 安全 策略 的 管理 和 下 发 ， 
接收 全 局 上 报信 息 ， 上 共有 全 省 数据 综合 分 析 和 与 其 他 系统 协同 联动 的 功能 。 

地 市 局 节点 : 负责 本 地 市 内 终端 的 安全 防护 和 安全 管理 工作 ， 同 时 对 所 管辖 的 下 级 县 局 
安全 防护 平台 和 安全 管理 平台 有 监管 功能 ， 具 体 包括 接收 省 中 心 集 略 配置 或 进行 本 地 配置 ， 
收集 监控 信息 并 产生 事件 并 上 报 ， 同 时 具有 数据 分 析 的 能 
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县 局 节点 ， 负责 本 县 内 终端 的 安全 防护 和 安全 管理 工作 ， 包 括 接收 省 中 心 和 地 市 局 中 
心 策略 配置 或 进行 本 地 配置 ， 收 集 监控 信息 并 产生 事件 并 上 报 ， 同 时 具有 一 定 的 数据 分 析 
的 能 

认证 授权 策略 中 心 : 负责 全 网 所 有 的 认证 、 授 权 、 策 略 信息 ， 所 有 服务 器 的 管理 角色 集 
中 在 一 起 ， 由 省 级 配 发 区 域 管理 权限 ， 区 域 根据 自身 情况 进行 使 用 者 信息 的 管理 ， 并 且 对 所 
有 使 用 者 信息 进行 区 域 化 限定 ， 既 满足 全 网 管理 要 求 的 统一 性 ， 又 兼顾 了 本 地 管理 的 灵活 
性 ， 统 一 性 保障 终端 信息 与 使 用 者 信息 ， 以 及 风险 信息 在 全 网 是 一 致 的 ， 灵 活性 保障 管理 角 
色 和 使 用 者 具备 本 地 管理 属性 。 对 所 有 节点 的 认证 进行 统一 维护 和 备份 ， 当 任意 节点 的 服务 
器 出 现 故 障 ， 可 以 直接 从 认证 中 心 恢复 认证 信息 。 对 所 有 节点 的 策略 信息 进行 集中 管控 ， 可 
以 保障 全 省 安全 策略 的 统一 ， 也 支持 全 省 策略 的 地 区 差异 化 ， 并 且 上 级 可 以 掌握 下 级 差异 化 
的 管理 详情 。 

所 有 节点 都 与 它们 的 父 节点 、 中 心 节点 以 及 所 有 的 子 节点 进行 通信 。 中 心 节点 用 于 统一 
安全 策略 ， 所 有 节点 根据 策略 的 性 质 配 发 适用 的 范围 ， 父 节点 能 够 对 所 有 的 子 节点 进行 管理 
和 查询 ， 包 括 策略 应 用 情况 、 终 端 安装 情况 、 补 丁 安装 情况 查询 和 报警 信息 等 ， 如 果 下 级 有 
选 配 管理 中 心 ， 还 可 以 对 其 进行 在 线 考核 。 每 个 节点 的 认证 和 策略 都 是 本 地 配置 ， 这 些 本 地 
配置 将 只 影响 本 地 的 终端 安全 防护 ， 不 影响 上 级 或 者 平 级 部 署 的 平台 ， 同 时 由 于 这 些 信息 都 
在 中 心 节点 备份 ， 所 以 可 以 实时 进行 同步 和 恢复 。 

在 管理 上 漫游 属于 特殊 情况 ， 分 为 两 种 :资产 漫游 和 人 员 漫 游 。 

人 员 漫游 比 较 常见 ， 在 现 有 的 部 署 方 案 中 ， 人 员 漫游 可 以 采用 人 员 的 管理 链接 方式 ， 即 
人 员 的 管理 属性 不 变 ， 还 是 由 其 直属 上 级 进行 管理 ， 但 是 资源 属性 支持 共享 ， 即 漫游 地 的 上 
级 也 可 以 查看 他 的 属性 ， 并 且 可 以 对 其 的 认证 和 授权 信息 进行 分 配 。 例 如 : 张 三 从 南京 调动 
到 盐城 工作 ， 他 的 工作 申请 在 经 过 管理 审批 之 后 ， 除 了 南京 的 领导 可 以 维持 对 其 的 管理 ， 盐 
城 的 领导 也 可 以 看 到 张 三 的 信息 ， 并 且 可 以 分 配 资产 到 张 三 的 名 下 ， 并 且 对 其 的 安全 策略 进 
行 对 应 配置 ， 而 张 三 可 以 继续 使 用 自己 在 南京 的 认证 信息 使 用 盐城 的 网 络 ， 不 需要 盐城 重新 
配 发 认证 账号 和 登记 人 员 信息 。 

资产 漫游 分 为 两 种 ， 借 用 和 设备 调拨 。 借 用 时 ， 保 持 资产 的 原 有 信息 借用 到 另外 区 
域 ， 终 端 在 两 地 的 信息 都 会 汇总 到 上 级 ， 而 上 级 进行 统计 和 分 析 的 时 候 ， 该 终端 发 生 的 所 
有 事件 都 是 前 后 关联 在 一 起 的 。 设 备 调拨 时 ， 根 据 规定 会 结束 原 有 的 生命 周期 ， 重 新 按照 
流程 入 网 。 


13.4.3 ”行业 管理 策略 


以 江苏 地 税 为 例 ， 为 保障 行业 管理 的 一 致 性 ， 兼 顾 各 地 网 络 安全 管理 的 灵活 性 ， 对 全 局 
管理 的 集 略 进行 了 如 下 的 设计 : 

1) 省 级 中 心 统一 配 太 安全 策略 ， 各 地 根据 实际 情况 选择 策略 的 应 用 范围 ， 各 地 会 定时 
上 报 统一 有 沉 略 的 应 用 范围 和 应 用 状态 。 

2) 省 级 中 心 分 析 全 省 的 安全 事件 ， 同 时 可 以 根据 分 析 结 果 下 发 安全 预警 和 告警 。 

3) 省 级 中 心 可 以 碍 看 全 省 的 管理 日 志 ， 按 区 域 进行 管理 工作 评 佑 〈KPI 考核 )。 

4) 各 节点 可 以 转发 上 级 的 安全 策略 到 下 级 服务 器 ， 也 可 以 根据 本 地 情况 对 于 本 地 的 特 
殊 终 端 ， 在 一 定 范围 内 采用 本 地 安全 人 策略， 在 保持 整体 安全 基本 一 致 的 情况 下 ， 灵 活 处 理 本 
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地 的 部 分 特殊 业务 要 求 。 
5) 各 节点 会 自动 上 传 上 级 策略 产生 的 报警 ， 同 时 上 报 管理 日 志 。 


13.5 建设 效果 


江苏 地 税 项 目 按照 终端 安全 防护 平台 、 终 端 安全 管理 平台 、 终 端 安全 防护 体系 三 层 结构 
模型 的 建设 ， 达 到 了 终端 风险 可 管 、 可 控 ， 安 全 状态 可 视 的 效果 。 

实现 内 网 终端 的 “全 程 全 网 ”安全 状态 可 视 化 (Visualization )。 体 现在 三 级 机 构 的 内 网 终 
羔 系 统 相 关 安 全 状态 信息 可 以 非常 直观 地 可 视 化 监视 ， 安 全 策略 执行 情况 可 感 可 知 ， 有 能 力 
进行 事后 的 分 析 和 追查 ， 提 供 可 以 “ 呈 堂 ”的 证 据 。 

内 网 终端 的 安全 风险 处 于 可 管理 、 可 控制 状态 下 。 对 内 网 终端 系统 安全 风险 的 不 间断 的 
评估 和 控制 措施 调整 ， 使 得 全 内 网 终端 的 整体 安全 状况 和 风险 情况 以 定性 或 半 定 量 的 形式 及 
时 展现 出 来 。 帮 助 安全 管理 层 和 终端 安全 管理 维护 人 员 清 晰 、 谁 确 、 及 时 地 了 解 终端 所 处 的 
风险 状况 。 

使 全 网 的 安全 保障 能 力 处 于 国内 领先 地 位 。 在 病毒 爆发 、 违 规 操 作 以 及 其 他 不 可 预见 的 
威胁 出 现时 ， 内 网 终端 安全 防护 和 管理 系统 有 能 力 及 时 发 现 ， 并 迅速 进行 啊 应 和 恢复 ， 保 障 
业务 工作 的 正常 运行 。 

保证 内 网 终端 相关 业务 活动 在 网 络 安全 方面 的 法 律 法 规 符 
终端 安全 状态 和 用 户 的 行为 ， 在 整个 体系 中 将 建立 法 律 法 规 符 
安全 管理 工作 的 有 效 性 及 终端 系统 合法 合 规 的 使 用 。 


合 性 。 规 范 、 管 理 和 审计 内 网 
全 
曲 


合 性 审核 制度 ， 保 证 终端 系统 
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附录 A 终端 安全 基础 风险 
附录 B 终端 安全 运行 风险 
安 


附录 C 终端 安全 信息 风险 


附录 A ”终端 安全 基础 风险 


端 安全 基础 风险 (BR:Basic Risk) 是 终端 自身 存在 风险 ， 包 括 BIOS 等 硬件 配置 隐 含 的 
二 人 的 内 例如 操作 系统 本 身 存 在 的 漏洞 和 用 户口 令 安 人 全， 杀毒 软 件 和 应 
用 软件 的 安装 使 用 风险 ， 终 端 对 于 补 本 和 软件 管理 的 风险 ， 以 及 网 络 相 关 参 数 配置 和 网 络 防 护 
终端 自身 包含 的 外 设 、 端 口 、 注 册 表 、 驱 动 、 操 作 系统 等 的 使 用 风险 。 

终端 安全 基础 风险 是 针对 终端 计算 机 的 基础 情况 进行 管理 ， 此 类 管理 不 涉及 各 类 具体 安 
全 风险 事件 ， 强调 终端 安全 基础 的 安全 性 ， 侧 重 于 自身 安全 的 加 固 和 风险 的 预防 ， 为 系统 的 
基础 管理 类 。 

终端 安全 基础 风险 管理 《防护 ) 系统 的 所 有 安全 基础 管理 功能 类 可 以 划分 为 自身 安全 风 
险 、 环 境 安全 风险 、 外 设 安全 风险 ， 有 具体 如 图 A-1 所 示 。 


BR1.1.1- 密码 口令 风险 


BR1.1.2-BIOS 弱 密 码 风 险 


BR1.1- 终端 环境 安全 风险 BR1.1.3- 杀毒 软件 检查 风险 


BR1.1.4- 终端 应 用 软件 检查 风险 
BR1.1.5- 终端 系统 补丁 风险 
BR1.1.6- 终端 软件 自动 分 发 风险 
BR1.2.1- 终端 网 络 运行 环境 风险 
BR1.2.2- 终端 防火 墙 风险 
BR1.3.3- 终端 注册 表 风 险 


BR- 基础 安全 风险 BR1.2- 终端 环境 安全 风险 


BR1.3.4- 终端 系统 驱动 风险 


BR1.3.5- 基本 配置 风险 


图 A-1 


Ai 终 痛 自身 安全 风险 (BR1.1) 


A.1.1 密码 口令 风 [ 险 (18 个 风险 点 ) 


1. 风险 分 析 
(1) 风险 描述 
密码 口令 风险 包括 终端 代理 准 入 账号 密码 、 终 端 安全 管理 系统 密码 和 操作 系统 密码 。 密 


终端 安全 基础 风险 | 六 条 - 


人 码 口 令 风 险 主要 表现 为 密码 复杂 度 不 够 ， 密 码 没有 定期 修改 ， 屏 幕 没 有 设置 密码 保护 等 ， 由 
此 带 来 口令 被 轻易 鳃 取 和 和 破解， 导致 用 户 账 户 被 冒 用 ，3 引 起 终端 安全 中 的 信息 扩散 和 信息 外 
泄 、 被 攻击 等 不 可 控 风 险 。 

简单 密码 容易 被 破解 和 猜测 ， 轻 易 补 获取 用 户 身 份 ， 常 见 情况 有 : 

1) 密码 与 用 户 名 类 似 或 者 关联 。 

2) 密码 为 字母 或 者 数字 的 单一 组 合 。 

3) 密码 是 常用 词汇 的 拼写 等 。 

4) 密码 是 固定 电话 和 手机 号 码 。 

口令 的 长 度 不 足 ， 容 易 使 用 工具 在 短 时 间 之 内 以 穷 举 方式 破解 。 

口令 的 修改 周期 过 长 ， 或 者 没有 建立 密码 修改 周期 管理 制度 ， 增 加 了 密码 破解 的 风险 。 

屏幕 保护 设置 和 限制 口令 解除 的 缺失 ， 容 易 产 生 他 人 冒 用 身份 ， 因 为 终端 用 户 已 经 进行 
了 身份 验证 ， 但 是 因为 临时 离开 终端 ， 而 他 人 可 以 在 这 个 时 间 冒 用 身份 ， 获 取信 息 ， 或 者 执 
行 非 法 操作 ， 引 发 信息 安全 的 风险 。 

(2) 相关 风险 点 

操作 系统 终端 密码 口令 风险 点 见 列表 A-1。 


表 A-1 


衍生 风险 隐患 

并 未 按照 密码 复杂 性 不 符 妃 残余 风险 隐患 
隐患 

隐患 

度 不 符合 要 息 里 员 和 3 风险 

隐患 

隐患 

守 合 要 求 的 ， 没 有 提示 终端 用 户 修改 隐患 

期 不 符合 要 求 的 ，1 息 里 员 隐患 

隐患 

隐患 

衍生 风险 隐患 

衍生 风险 隐患 

残余 风险 隐患 

因 工 作 或 维修 需要 ， 终 端 用 原生 风险 风险 
因 工作 或 维修 需要 ， 终 端 用 衍生 风险 风险 


未 及 时 修改 密码 


以 下 将 分 别 从 资产 使 用 生命 周期 、 资 产 使 用 人 员 、 资 产 承 载 的 信息 和 合 规 性 4 个 方面 对 
以 上 18 个 风险 点 进行 详细 阐述 ， 包 括 风 险 发 生 的 阶段 、 风 险 检测 的 条 件 和 风险 损害 等 。 
(a) 基于 资产 使 用 生命 周期 分 析 
该 类 风险 涉及 入 网 前 、 运 行 和 维护 阶段 ， 入 网 前 由 于 终端 资产 不 包含 敏感 信息 和 数据 ， 
密码 口令 风险 较 低 。 入 网 后 ， 由 于 运行 过 程 中 涉及 敏感 信息 和 生产 数据 ， 如 有 果 不 对 终端 密码 
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口令 风险 进行 有 效 管控 ， 导 致 的 损失 较 大 ， 风 险 较 高 。 终 端 资产 进入 维护 阶段 后 ， 通 常 为 了 
维护 需要 ， 需 将 终端 资产 的 密码 口令 交 给 维护 人 员 。 如 果 直接 将 终端 资产 的 密码 交 给 维护 人 
员 且 事后 不 及 时 进行 更 改 ， 就 存在 密码 外 汇 ， 系 统 被 非法 入 侵 和 使 用 的 风险 。 在 报废 阶段 
终端 不 能 使 用 ， 此 时 不 存在 该 类 风险 。 

风险 点 (1-12): 密码 复杂 性 、 长 度 、 留 存 周期 不 符合 要 求 ， 这 些 风险 在 入 网 前 ， 因 为 
终端 资产 不 包含 敏感 信息 和 数据 ， 风 险 较 低 ， 入 网 后 ， 密 码 复杂 性 不 符合 要 求 ， 密 码 泄漏 会 
导致 终 端的 数据 泄漏 ， 风 险 较 高 。 

风险 点 (13-16): 未 按照 要 求 设置 屏保 ， 在 终端 未 入 网 前 ， 只 会 影响 单个 终端 ， 对 单个 
终端 的 信息 和 数据 造成 泄漏 ， 风 险 较 低 ， 入 网 后 ， 如 果 是 核心 主机 ， 不 是 终端 的 操作 用 户 可 
以 进入 终端 ， 对 终端 进行 操作 ， 会 对 终端 的 信息 和 数据 造成 泄漏 ， 风 险 高 。 

风险 点 (17-18)， 未 按照 规定 告知 密码 ， 告 知 后 未 及 时 更 改 密码 ， 主 要 发 生 在 终端 的 维 
护 阶段 。 必 须 严格 制度 ， 要 求 对 告知 密码 的 操作 进行 详细 记录 ， 并 在 告知 密码 维护 工作 完成 
后 ， 及 时 更 改 密码 ， 并 进行 备案 。 

(Cb) 与 信息 安全 关系 

密码 口令 风险 涉及 在 线 信息 安全 风险 和 存储 信息 风险 ， 

风险 点 1.8)， 如 果 终 端 资产 存在 弱 口令 ， 包 括 口令 复杂 度 不 够 、 密 码 长 度 不 够 等 ， 容 易 
造成 口令 被 破解 ， 系 统 被 非法 入 侵 ， 导 致 存储 在 计算 机 中 的 信息 外 泄 。 如 果 弱 口令 被 破解 ， 别 
有 用 心 的 人 利用 破解 的 用 户 各 和 密码 对 业务 服务 器 进行 操作 ， 进 而 对 在 线 的 信息 自 改 或 窃取 ， 
下 载 业务 服务 器 的 敏感 信息 ， 可 能 造成 严重 社会 恶劣 影响 以 及 其 他 不 可 预测 的 风险 。 

风险 点 〈9-12)， 密 码 留存 周期 不 符合 要 求 的 ， 密 码 长 时 间 不 更 改 ， 导 致密 码 泄漏 ， 访 
风险 可 能 造成 终端 的 存储 信息 被 自 改 或 泄漏 ， 如 果 是 泄漏 的 密码 被 利用 ， 终 端的 在 线 信息 也 
面临 被 下 载 、 泄 泼 、 算 改 和 外 港 的 风险 。 

风险 点 〈13-16)， 如 果 屏 幕 不 设置 屏保 和 密码 ， 有 可 能 被 别人 偷窥 到 一 些 敏 感 信 息 或 者 
被 人 通过 屏幕 拍照 等 方式 截取 重要 信息 ， 造 成 信息 外 泄 。 存 储 信息 也 容易 在 登录 用 户 离开 电 
脑 时 ， 因 为 没有 屏保 的 密码 ， 被 非 授权 人 员 轻 易 获 取 导 致 外 沪 ， 

风险 点 17-18)， 未 按照 规定 告知 他 人 密码 ， 告 知 后 未 及 时 更 改 的 风险 ， 对 存储 信息 来 
说 ， 密 码 信息 泄漏 ， 会 造成 存储 信息 外 泄 ， 如 果 告知 后 未 及 时 更 改 ， 非 法 用 户 利用 先前 的 窗 
码 信息 进入 终端 ， 并 进行 操作 ， 会 造成 在 线 信息 被 算 改 的 风险 。 

Cc) 基于 资产 使 用 人 分 析 

风险 点 1-12): 任何 岗位 角色 都 可 能 存在 密码 口令 不 按 规定 使 用 的 问题 。 因 此 ， 这 些 风险 
与 内 部 人 员 相关 时 ， 高 级 管理 岗位 (如 高 层 领导 ) 的 终端 资产 存在 以 上 风险 ， 由 于 其 终端 信 
企业 核心 信息 和 涉 密 信息 ， 风 险 级 别 高 。 当 部 门 主管 、 网 络 管理 员 、 配 置 管理 员 、 系 统管 理 
员 、 财 务 部 人 员 等 关键 岗位 业务 人 员 的 终端 存在 以 上 风险 ， 由 于 该 类 终端 对 业务 支撑 非常 关 
键 ， 且 一 般 包 含 关键 业务 信息 ， 风 险 级 别 较 高 。 当 生产 人 员 、 办 公 人 员 等 终端 存在 该 风险 ， 尽 
管 该 类 终端 支持 业务 和 对 正常 运营 起 保障 作用 ， 但 因 不 涉及 重要 信息 和 关键 业务 ， 风 险 为 中 。 
与 临时 人 员 有 关 时 ， 该 类 风险 发 生 在 辅助 人 员 岗位 ， 如 食堂 、 车 队 、 绿 化 等 人 员 ， 则 该 类 终端 
一 般 不 涉及 业务 、 不 包含 敏感 信息 ， 风 险 为 低 。 与 外 来 人 员 有 关 时 ， 因 外 来 人 员 不 涉及 组 织 内 
部 信息 和 业务 系统 。 此 类 人 员 终端 发 生 该 风险 时 ， 对 于 组 织 的 影响 很 小 ， 风 险 为 低 。 

风险 点 13-16)， 任 何 岗位 角色 都 可 能 存在 不 按 规定 设置 屏保 的 问题 。 这 些 风险 与 内 部 人 
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员 有 关 ， 高 级 管理 岗位 和 部 门 主 管 等 人 员 必 须 严格 对 终端 设置 屏保 ， 和 否则 其 重要 终端 因为 不 
设置 屏保 ， 容 易 造成 信息 泄漏 或 算 改 的 风险 ， 风 险 较 高 ， 临 时 人 员 和 外 来 人 员 的 终端 不 涉及 
核心 业务 和 敏感 数据 ， 风 险 较 低 。 
风险 点 17-18): 这 两 个 风险 点 主要 涉及 的 是 内 部 人 员 ， 如 果 在 维修 过 程 中 需要 使 用 密 

码 ， 应 尽量 采取 陪同 操作 的 方式 ， 避 免 将 密码 告知 他 人 。 如 果 不 得 不 采取 告知 密码 的 方式 ， 
必须 将 密码 告知 人 的 使 用 时 间 和 使 用 操作 记录 在 案 ， 便 于 事后 问题 追踪 ， 同 时 在 他 人 使 用 密 
码 后 ， 及 时 修改 密码 。 

(d) 合 规 性 要 求 

合 规 性 要 求 详 见 表 A-2。 


表 A-2 


7.1.3.1 身份 鉴别 〈S3 ) 
b) 操作 系统 和 数据 库 系 统管 理 用 户 身 份 标识 应 具有 不 易 被 冒 用 的 特点 ， 口 令 
应 有 复杂 度 要 求 并 定期 更 换 

c) 应 启用 登录 失败 处 理 功能 ， 可 采取 结束 会 话 、 限 制 非法 登录 次 数 和 自动 退 


1 主机 安 出 等 措施 
d) 当 对 服务 器 进行 远程 管理 时 ， 应 采取 必要 措施 ， 防 止 鉴别 信息 在 网 络 传输 
过 程 中 被 鹤 听 
e) 应 为 操作 系统 和 数据 库 系 统 的 不 同 用 户 分 配 不 同 的 用 户 名 ， 确 保 用 户 名 具 
有 唯一 性 


基于 以 上 风险 点 分 析 ， 如 采取 相关 技术 和 管理 手段 管控 18 个 风险 点 ， 终 端 密码 口令 音 
分 管理 将 符合 等 级 保护 相关 要 求 。 

相关 技术 和 管理 的 风险 管控 措施 参见 以 下 阐述 

2， 风险 管控 

每 类 风险 在 管控 过 程 中 ， 针 对 风险 的 事前 、 事 中 和 事后 3 种 状态 进行 监控 ， 做 到 事前 预 
防 ， 事 中 控制 、 事 后 审计 追查 。 下 面 的 风险 管控 处 理 流 程 ， 尽 量 从 事前 、 事 中 和 事后 3 方面 
对 风险 进行 管控 。 

风险 点 (1-4): 密码 复杂 度 不 符合 要 求 的 管理 控制 流程 

(1) 事前 处 置 

1) 制定 操作 系统 密码 管理 制度 ， 包 括 密码 口令 不 能 为 空 、 密 码 复杂 度 、 密 码 最 小 长 
度 、 密 码 更 新 周期 。 如 强行 规定 密码 复杂 度 达 到 8 个 以 上 字符 ， 至 少 包 含 大 小 写字 母 、 数 字 
和 特殊 符号 三 种 类 型 字符 等 。 

2) 制定 终端 屏幕 管理 保护 要 求 ， 包 括 必须 设置 屏保 、 设 置 屏 保 最 长 多 久保 护 、 恢 复 时 
需要 用 户 密码 解 开 屏 锁 。 

(2) 事 中 处 置 

发 现 弱 口令 包括 密码 复杂 性 不 够 、 长 度 不 够 、 没 有 按期 修改 、 未 设置 屏幕 保护 密码 等 
对 该 用 户 首先 在 终端 进行 提示 ， 并 将 该 信息 上 报 管理 中 心 ， 对 于 逾期 不 修改 的 用 户 ， 通 报批 
评 ， 行 政 扣 分 ， 仍 然 不 改正 的 用 户 ， 下 发 断交 第 略 。 具 体 措施 如 下 : 

1) 修改 密码 时 ， 如 果 密 码 复杂 上 度 不 符合 要 求 ， 则 提示 密码 的 复杂 度 ， 如 果 不 符合 
ee i 

2) 修改 密码 时 ， 如 果 密 码 长 度 不 符合 要 求 ， 则 提示 密码 的 长 度 ， 如 果 不 符合 要 求 ， 则 
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提示 用 户 修改 或 者 无 法 保存 新 的 密码 。 

3) 密码 超期 使 用 ， 提 示 密 码 需 要 修改 ， 如 果 不 修改 密码 ， 则 发 送 报警 到 防护 平台 ， 并 
且 记 录 日 志 用 于 审计 ， 

4) 屏幕 保护 的 设置 不 符合 要 求 ， 提 示 重 新 配置 屏幕 保护 设置 ， 如 果 不 修 改 配置 ， 则 发 
送 报警 到 防护 平台 ， 并 且 记 录 日 志 用 于 后 续 跟踪 。 

(3) 事后 处 置 

1) 对 操作 系统 密码 违规 设置 查询 ， 了 解 内 网 终端 操作 系统 密码 设置 安全 性 ， 了 解 不 安 
全 终端 密码 的 台数 ， 可 以 提醒 修正 。 

2) 对 于 该 类 风险 ， 保 留 日 志 记录 ， 如 果 出 现 安全 事件 ， 则 可 以 追溯 责任 人 ， 

控制 流程 详 见 图 A-2， 


符合 要 求 的 风险 管控 流程 


《操作 系统 密码 管理 制度 》: 对 终端 设 
置 密码 口令 的 复杂 度 ， 长 度 等 做 明确 
要 求 ; 包括 不 符合 要 求 的 处 罚 措施 等 


获取 终端 操 
作 系 统 密码 


< 事前 阶段 > 


密码 复杂 度 


不 符合 要 求 
提示 终端 用 户 修改 
操作 系统 密码 所 邱 风险 分 析 


提示 修改 屏保 设置 


< 事 中 阶段 > 


新 的 安全 策略 周 整 安全 策略 关联 分 析 


证 ~ A 
图 A-2 


< 事后 阶段 > 
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风险 点 〈5-8): 密码 长 度 不 符合 要 求 的 管理 控制 流程 ， 与 风险 点 〈1-4) 类 似 ， 检 测 的 主 
要 内 容 是 密码 长 度 ， 其 余 管控 过 程 类 似 。 

风险 点 〈9-12): 密码 留存 周期 不 符合 要 求 的 管理 控制 流程 ， 与 风险 点 (1-4)〉 类 似 ， 检 
测 的 主要 内 容 是 密码 留存 周期 ， 其 余 管 控 过 程 类 似 。 

风险 点 (13-16): 终端 没有 按 规定 设置 屏保 的 管理 控制 流程 ， 与 风险 点 〈1-4) 类 似 ， 检 
测 的 主要 内 容 是 屏保 的 有 无 和 屏保 密码 的 复杂 度 ， 其 余 管 探 过 程 类 似 。 

风险 点 〈17-18): 必须 在 制度 上 严格 规定 ， 不 允许 将 密码 随意 告诉 他 人 。 告 知 密码 随意 
告知 别人 的 风险 ， 同 时 提醒 用 户 ， 因 自己 密码 泄漏 造成 的 风险 将 由 个 人 承担 。 

3. 残余 风险 处 理 

在 对 终端 的 密码 和 口令 风险 管理 工作 中 存在 以 下 几 种 情况 : 

1) 针对 密码 口令 复杂 度 、 长 度 和 定期 修改 的 提示 并 未 被 终端 用 户 执 行 。 

2) 其 审计 信息 报 给 管理 员 后 ， 也 未 得 到 及 时 的 关注 和 处 理 。 

3) 系统 因 工 作 或 维修 需要 将 口令 直接 交 由 他 人 ， 事 后 又 未 及 时 修改 。 

因此 ， 尽 管 部 署 了 完备 的 检测 和 管理 技术 手段 ， 却 会 因 人 的 操作 习惯 和 安全 意识 造成 密 
码 口 令 被 破解 的 风险 继续 存在 。 

针对 该 问题 ， 建 议 增加 以 下 几 方 面 工 作 : 

1) 加 强 安全 意识 培训 和 教育 ， 使 终端 用 户 意 识 到 密码 口令 的 重要 性 ， 督 促 其 养 成 定期 
修改 密码 和 主机 信息 密码 保护 的 好 习惯 。 

2) 提供 制度 保障 ， 要 求 因 工作 或 维护 需要 密码 的 统一 处 理 方 法 ， 如 不 能 继续 使 用 个 人 
密码 ， 应 该 更 换 成 维护 密码 ， 重 新 领 用 后 再 换 回 个 人 密码 等 。 

3) 建立 定期 检查 和 整改 制度 ， 定 期 对 组 织 内 终端 的 密码 口令 状况 进行 集中 检查 ， 集 中 
整改 。 

4) 设立 针对 密码 口令 相关 的 考核 管理 措施 ， 将 该 项 工作 作为 终端 使 用 人 、 终 端 所 有 单 
位 安全 工作 考评 中 的 考核 指标 。 

4. 技术 管控 中 存在 的 问题 和 对 策 

由 于 Windows 密码 都 采用 加 密 保存 ， 在 开机 阶段 不 能 主动 探测 到 密码 复杂 度 ， 建 议 最 
好 采用 专业 密码 口令 探测 器 扫描 ， 另 外 ， 从 密码 保护 和 法 律 的 角度 ， 不 建议 采用 暴力 破解 的 
了 

5. 风险 控制 效果 

能 保护 终端 操作 系统 的 口令 安全 ， 实 现 口 令 的 安全 管理 ， 防 范 终端 在 正常 使 用 情况 下 的 
言 息 扩散 和 信息 外 泄 风 险 ， 杜 绝 终端 用 户 的 身份 被 冒 用 的 风险 。 


A.1.2 BIOS 弦 密 码 风 险 (11 个 风险 点 ) 


1， 风险 分 析 

(1) 风险 描述 

设置 BIOS 密码 可 以 为 终端 带 来 一 定 程度 的 保护 。 设 置 BIOS 密码 的 目的 有 两 个 : 一 是 防 
止 别人 擅自 更 改 终端 的 BIOS 设置 ， 二 是 防止 别人 非法 进入 终端 〈 包 括 进入 操作 系统 等 )。 

合理 利用 BIOS 密码 可 以 给 终端 的 安全 带 来 很 大 的 益处 。 雷 要 结合 不 同 的 终 病 进行 
BIOS 密码 的 设置 规定 。 
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公用 的 计算 机 ， 比 如 只 作为 查询 作用 的 终端 ， 一 般 会 采取 BIOS 密码 不 公开 的 方式 ， 此 
时 允许 他 人 进入 操作 系统 使 用 计算 机 ， 但 不 允许 他 人 进入 BIOS 画面 随意 修改 BIOS 设置 ， 
以 保护 计算 的 正常 运行 。 

比较 重要 的 个 人 终端 ， 如 果 不 允 许 其 他 人 使 用 ， 则 必须 设置 BIOS 密码 不 公开 ， 此 时 别 
人 无 法 进入 BIOS 设置 ， 也 无 法 进入 操作 系统 。 

个 人 终端 ， 人 允许 指定 的 几 个 人 使 用 ， 可 以 设置 BIOS 密码 ， 并 将 密码 告知 指定 的 使 用 
人 人， 但 需要 保留 “管理 员 密 码 ” 日 后 可 以 根据 需要 取消 或 修改 掉 BIOS 密码 ， 这 样 ， 终 端 
BIOS 主动 权 掌 握 在 高 级 管理 员 手 中 。 

BIOS 密码 设置 为 空 或 者 较 弱 ， 很 容易 被 别人 猿 中 ， 从 而 控制 硬件 启动 顺序 ， 主 机 很 可 
能 被 别人 控制 不 能 操作 ， 使 而 失去 可 用 性 。 也 可 能 被 别人 利用 软盘 、 光 盘 和 U 盘 等 外 部 引导 
方式 或 远程 启动 方式 控制 电脑 。 由 于 现在 CPU 多 提供 智能 控制 功能 ， 因 此 通过 BIOS 就 可 以 
开启 远程 控制 ， 并 且 可 以 在 操作 系统 启动 之 前 进行 控制 ， 实 现 操 作 系 统 的 修复 和 重新 安装 ， 
功能 上 方便 了 ， 但 是 安全 风险 也 增加 了 。 

(2) 相关 风险 点 


终端 BIOS 弱 密 码 风险 点 见 表 A-3。 


全 ”局 风险 属性 隐患 /风险 
BIOS 密码 强度 设置 不 名 求 原生 风险 隐患 


BIOS 密码 强度 不 符合 要 求 的 ， 没 有 提示 终端 用 广 原生 风险 隐患 
BIOS 密码 强度 不 符合 要 求 的 ， 审 计 信 息 没有 上 报 管理 原生 风险 风险 


BIOS 密码 强度 不 符合 要 求 ， 没 有 产生 告警 信息 原生 风险 隐患 


AN 
A 
小 
AN 
A 
BIOS 密码 强度 不 符合 要 求 ， 3 修改， 用 户 修 己 忘 s 
EA 
by 
AN 


记 BIOS 密码 


XY 
网 用 
XY 
XP 
XP 
BIOS 密码 i 至 隐患 
XY 
Xb 
XP 


BIOS 密码 1 用 广 原生 风险 隐患 
BIOS 密码 设置 为 空 没 有 产生 告警 信息 原生 风险 风险 
BIOS 密码 设置 为 宝 ， 审 计 信 息 没 有 ! 原生 风险 风险 


密码 设置 为 补 ， 提 示 终 端 用 户 修改 ， 用 户 修改 后 自己 访 1 | 
BIOS 密码 设置 为 空 ， 提 示 终 端 用 户 修改 ， 用 户 修改 后 自己 忘记 风险 


BIOS 密码 
采取 技术 措施 获取 终端 的 BIOS 密码 强度 情况 ， 但 不 同 厂商 的 主 


残余 风险 隐患 


板 不 尽 相 同 ， 获 取 的 BIOS 密码 强度 情况 不 精确 


(a) 基于 资产 使 用 生命 周期 分 析 

该 类 风险 涉及 入 网 、 运 行 阶段 。 

风险 点 (1-11): 终端 BIOS 密码 不 设置 或 者 为 空 、 较 弱 都 极 有 可 能 被 轻易 获得 ， 从 而 终 
端 被 控制 利用 ， 导 致 终端 无 法 启动 ， 不 可 用 ， 设 置 被 通过 U 盘 等 其 他 虚拟 驱动 登录 方式 或 者 
远程 控制 的 方式 登录 终端 主机 ， 造 成 终端 数据 信息 被 复制 、 外 泄 等 风险 。 

(6) 与 信息 安全 关系 

密码 口令 风险 涉及 在 线 信 息 安 全 风险 和 存储 信息 风险 。 

由 于 BIOS 弱 口 令 的 存在 ， 使 得 BIOS 口令 容易 被 破解 。 其 损害 有 : 引起 终 并 的 启动 顺 
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序 变化 ， 使 用 外 接 系 统 引 导 ， 绕 开 终 端的 监控 和 防护 ， 直 接 读 取 终 并 的 文件 信息 ， 导 致 存储 
在 计算 机 中 的 信息 外 泄 ， 可 以 利用 主动 控制 等 远程 操作 方式 监视 主机 与 业务 服务 器 的 连接 ， 
下 载 服务 中 的 敏感 信息 ， 引 发 信息 外 港 风险 。 

(Cc) 基于 资产 使 用 人 分 析 

BIOS 风险 对 所 有 人 均 有 可 能 有 发生， 但 该 类 风险 主要 还 是 在 内 部 人 员 中 发 生 ， 当 内 部 
别 有 企 图 的 人 员 接 近 终 端的 时 候 ， 很 容易 进入 BIOS， 重 新 设置 密码 ， 导 致 操作 系统 不 能 
正常 局 动 ， 或 者 通过 设置 硬件 启动 顺序 ， 通 过 USB 中 虚拟 操作 系统 启动 ， 导 致 终端 被 控 
制 ， 信 息 外 汇 ， 其 他 人 员 的 终端 往往 由 于 制度 和 规范 保护 ， 经 过 统一 处 理 ， 可 以 有 效 降低 
该 类 风险 。 

(d) 合 规 性 要 求 

合 规 性 要 求 详 见 表 A-4。 


ES 
n> 
而 
油 


2， 风险 管控 

风险 点 (1-5): BIOS 密码 强度 不 符合 要 求 的 风险 管控 流程 。 

1) 事前 处 置 ”所 有 终端 领 用 时 初始 化 BIOS 密码 ， 对 于 拥有 修改 BIOS 权限 的 使 用 者 ， 
制定 BIOS 密码 管理 要 求 ， 包 括 密码 口令 不 能 为 空 、 密 码 复杂 度 、 密 码 最 小 长 度 、 密 码 更 新 
周期 。 如 强行 规定 密码 复杂 上 度 达 到 8 个 以 上 字符 ， 包 含 大 小 写 、 数 字 、 符 号 等 。 

2) 事 中 处 置 ”定期 检查 终端 资产 的 BIOS 密码 设置 情况 。 

发 现 BIOS 密码 为 空 时 ， 警 告终 端 用 户 ， 管 理 员 记录 违规 情况 。 

BIOS 密码 复杂 度 不 符合 要 求 ， 警 告终 端 用 户 ， 管 理 员 记录 违规 情况 。 

如 果 经 提醒 不 修改 密码 ， 则 记录 日 志 用 于 后 期 审计 和 行政 处 罚 。 

3) 事后 处 置 ”管理 员 保 留 违 规 记录 ， 如 果 出 现 安全 事件 ， 可 以 追溯 责任 人 ， 逾 期 不 修 
改 的 ， 结 合 行政 扣 分 管理 措施 等 。 

控制 流程 详 见 图 A-3。 

风险 点 (5-10): 管控 流程 与 (1-5〉 类 似 ， 主 要 是 判断 BIOS 密码 是 否 为 空 。 

风险 点 (11): 残余 风险 。BIOS 密码 由 于 属于 底层 主板 厂商 设置 ， 和 不 同 厂商 主板 特性 
有 关系 ， 还 没有 有 效 的 技术 手段 能 探测 到 不 同 主板 厂商 的 BIOS 密码 设置 复杂 度 。 

3. 残余 风险 处 理 

BIOS 弱 密 码 的 残余 风险 与 操作 系统 密码 口令 的 残余 风险 类 似 ， 其 处 理 措施 可 一 并 考 
虑 。 针 对 该 问题 ， 建 议 增加 以 下 几 方 面 工作 。 

1) 加 强 安全 意识 培训 和 教育 ， 使 终端 用 户 意识 到 密码 口令 的 重要 性 ， 督 促 其 按照 规定 
设置 BIOS 密码 。 

2) 提供 制度 保障 ， 规 定 维护 时 使 用 BIOS 密码 的 统一 处 理 方法 ， 如 在 维护 时 不 能 
继续 使 用 原 BIOS 密码 ， 应 该 更 换 成 维护 密码 ， 在 重新 领 用 后 再 更 换 回 原 终端 BIOS 密 


码 等 。 
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BIOS 密码 强度 不 符合 要 求 的 风险 管控 流程 


《BIOS 管理 制度 》， 对 不 同 终端 
设备 BIOS 明确 要 求 


获取 终端 BIOS 密码 
的 强度 情况 


< 事前 阶段 > 


终端 BIOS 密码 
是 否 是 弱 口令 


提示 终端 用 户 BIOS 
密码 设置 强度 不 够 风险 分 析 


怎 否 按 提 宗 
修改 BIOS 密码 
人 
坛 是 
态 
让 终端 用 户 操作 
V 
人 
以 
1 
基 
V 
图 A-3 
3) 建立 定期 检查 和 整改 制度 ， 定 期 对 组 织 内 终端 的 BIOS 密码 状况 进行 集中 检查 ， 集 


中 整改 。 

4) 设立 针对 密码 的 考核 管理 措施 ， 将 该 项 工作 作为 终端 使 用 人 、 终 端 所 有 单位 安全 工 
作 考 评 中 的 考核 指标 之 一 。 

ee 

保 扩 终 端 BIOS 的 口令 安全 ， 实现 口令 的 安全 管理 ， 防 范 终 端 在 正常 使 用 过 程 中 通过 底 
层 获 得 终 防范 终端 被 从 底层 BIOS 泄密 和 破坏 的 风险 。 


A.1.3 杀毒 软件 检查 风险 (10 个 风险 点 


1. 风险 分 析 
(1) 风险 描述 
1) 终端 不 安装 防 病毒 软件 ， 不 能 对 病毒 进行 查 杀 ， 终 端的 数据 流 面 临 不 可 控 的 风险 ， 
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终端 上 运行 的 病毒 不 能 及 时 查 杀 ， 终 端 安全 性 得 不 到 保证 ， 进 而 威胁 整个 网 络 系统 。 

2) 终端 安装 了 防 病毒 软件 后 ， 如 果 不 及 时 获取 防 病毒 软件 的 新 版 本 和 病毒 库 等 信息 ， 
就 不 能 对 防 病毒 软件 进行 有 效 的 升级 ， 进 而 影响 防 病毒 软件 的 正常 使 用 。 安 装 的 防 病毒 软 
件 如 果 不 按照 要 求 局 用 ， 相 当 于 没有 安装 防 病毒 软件 ， 会 导致 病毒 事件 的 发 生 。 安 闭 的 防 
病毒 软件 还 需要 验证 是 否 具备 查 杀 病毒 的 功能 ， 如 果 不 能 ， 需 要 重新 查验 防 病毒 的 相关 配 
置信 息 。 

(2) 相关 风险 点 

终端 杀毒 软件 检查 风险 见 表 A-5。 


风险 属性 | ”隐患 /风险 
原生 风险 隐患 
终端 安装 防 病毒 软件 后 ， 防 病毒 软件 的 型 导 、 版本、 病毒 库 - a 
信息 不 能 发 现 原生 风险 
终端 安装 防 病毒 软件 后 ， 和 系统 冲突 原生 风险 风险 


杀毒 软件 

检查 风险 终端 防 病毒 软件 程序 和 病毒 库 不 能 升级 到 最 新 状态 隐患 
| 
Fm 
世 


终端 防 病毒 程序 处 于 未 运行 原生 风险 隐患 


终端 防 病毒 程序 处 于 未 运行 状态 后 不 能 启动 防 病毒 各 风险 
防 病毒 程序 处 于 未 运行 状态 ， 没 有 告警 信息 次 生 风险 风险 
管理 员 不 能 远程 调用 其 杀毒 软件 对 发 现 的 病毒 进 风险 
终端 杀毒 软件 不 能 查 杀 病 毒 风险 
(a) 基于 资产 使 用 生命 周期 分 析 
资产 使 用 生命 周期 包含 入 网 前 、 运 行 阶段 、 维 修 阶段 、 报 废 阶段 ， 终 端 防 病毒 软件 检测 
风险 在 资产 使 用 生命 周期 的 体现 如 下 。 
风险 点 〈1-2): 如 果 终 端 未 安装 防 病毒 软件 就 接 入 网 络 ， 可 能 会 导致 病毒 在 网 络 草 
延 ， 如 果 没 有 在 入 网 前 进行 控制 ， 将 会 带 来 很 大 的 风险 ; 在 运行 阶段 ， 如 果 终 端 都 安装 了 
防 病毒 软件 并 且 正 确 使 用 ， 将 不 会 带 来 更 大 的 风险 ， 如 果 没 有 做 好 控制 措施 ， 会 带 来 更 大 
的 安全 风险 。 
风险 点 〈3-10): 出 现在 系统 运行 阶段 ， 如 果 不 能 发 现 防 病毒 软件 的 版 本 病毒 库 等 信 
息 ， 就 不 能 对 防 病 毒 软 件 进行 有 效 的 升级 ， 进 而 影响 防 病毒 软件 的 正常 使 用 。 如 果 防 病毒 软 
件 停止 启动 ， 而 又 不 能 恢复 启动 ， 就 相当 于 没有 安装 防 病毒 软件 ， 终 端 会 感染 病毒 、 木 马 等 
恶意 程序 ， 导 致 终端 运行 异常 、 终 端 宕 机 、 网 络 异 常 、 甚 至 引起 网 络 次 痪 的 风险 ， 导 致 的 损 
失 较 大 ， 风 险 较 高 。 
(Cb) 相关 信息 风险 
@ 在 线 信息 风险 
风险 点 (1-2): 防 病毒 软件 能 对 终端 运行 的 病毒 进行 查 杀 ， 未 安装 防 病毒 软件 的 终端 
容易 被 病毒 木马 等 感染 ， 进 而 导致 在 线 信息 相关 系统 不 能 正常 工作 ， 严 重 的 还 能 引起 网 络 
瘫痪 。 
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风险 点 (3-10)， 防 病毒 软件 的 正常 运行 ， 与 程序 版 本 和 病毒 库 版 本 的 实际 情况 密切 相 
关 ， 在 线 信息 与 这 些 风险 关系 更 为 密切 ， 如 果 不 及 时 更 新 防 病毒 软件 程序 版 本 和 病毒 库 ， 可 
能 无 法 有 效 查 杀 新 出 现 的 病毒 。 防 病毒 软件 不 正常 启用 和 运行 ， 病 毒 可 能 感染 终端 ， 而 导致 
在 线 信息 相关 系统 不 能 正常 工作 ， 甚 至 引起 网 络 瘫痪 。 

@@ 存储 信息 风险 

风险 点 (1-10): 该 风险 可 能 导致 终端 上 存储 的 信息 丢失 或 者 被 破坏 ， 或 者 破坏 业务 系 
统 导致 存储 的 信息 无 法 读 取 ， 更 严重 的 影响 操作 系统 或 者 磁盘 系统 ， 导 致 存储 信息 的 环境 
异常， 

Cc) 基于 资产 使 用 人 分 析 

@ 内 部 人 员 

风险 点 (1-10): 该 类 风险 发 生 在 内 部 人 员 高 级 管理 岗位 (如 区 域 负 责 人 等 高 层 领 
导 )， 由 于 其 终端 含有 企业 核心 信息 和 涉 密 信息 ， 风 险 非 常 高 。 该 类 风险 发 生 在 地 市 部 门 主 
管 、 网 络 管理 员 、 配 置 管理 员 、 系 统管 理 员 、 财 务 部 人 员 等 关键 岗位 业务 人 员 ， 由 于 该 类 
终端 对 业务 支撑 非常 关键 ， 且 一 般 包 含 关键 业务 信息 ， 风 险 较 高 。 如 果 该 类 风险 发 生 在 开 
发 人 员 、 研 发 人 员 等 ， 则 由 于 该 类 终端 支持 业务 和 对 正常 运营 起 保障 作用 ， 相 当 重 要 ， 风 
险 为 中 。 

@) 临时 人 员 

风险 点 (1-10)， 如 果 该 类 风险 发 生 在 辅助 人 员 岗 位 如 食堂 、 车 队 、 绿 化 等 人 员 )， 则 
该 类 终端 一 般 不 涉及 业务 、 不 包含 敏感 信息 ， 风 险 为 低 ， 如 果 临 时 人 员 的 用 的 终端 接 入 网 络 
系统 的 话 ， 该 类 风险 等 级 就 会 很 高 ， 因 为 临时 人 员 的 终端 病毒 控制 不 好 ， 可 能 会 在 网 络 内 爆 
发 病毒 。 

@ 外 来 人 员 ， 

风险 点 〈L10): 该 风险 一 般 不 涉及 此 类 人 员 ， 但 是 如 果 外 来 人 员 有 终端 接 入 到 网 络 ， 
风险 等 级 就 会 很 高 ， 因 为 临时 人 员 的 终端 病毒 控制 不 好 ， 可 能 会 在 网 络 内 爆发 病毒 

Cd) 合 规 性 要 求 见 表 A-6。 


表 A-6 


7.1.3.6 恶意 代码 防范 (G3) 
a) 应 安装 防 恶 意 代码 软件 ， 并 及 时 更 新 防 恶 意 代码 软件 版 本 和 恶意 代码 库 
b) 主机 防 恶意 代码 产品 应 具有 与 网 络 防 恶意 代码 产品 不 同 的 恶意 代码 库 
c) 应 支持 防 恶 意 代码 的 统一 管理 


7.2.5.8 恶意 代码 防范 管理 (G3) 
a) 应 提高 所 有 用 户 的 防 病毒 意识 ， 及 时 告知 防 病毒 软件 版 本 ， 在 读 取 移动 存 


储 设备 上 的 数据 以 及 网 络 上 接收 文件 或 邮件 之 前 ， 先 进行 病毒 检查 ， 对 外 来 计 
算 机 或 存储 设备 接 入 网 络 系统 之 前 也 应 进行 病毒 检查 

b) 应 指定 专人 对 网 络 和 主机 进行 恶意 代码 检测 并 保存 检测 记录 

c) 应 对 防 恶意 代码 软件 的 授权 使 用 、 恶 意 代 码 库 升 级 、 定 期 汇报 等 作出 明确 
规定 
d) 应 定期 检查 信息 系统 内 各 种 产品 的 恶意 代码 库 的 升级 情况 并 进行 记录 ， 对 
主机 防 病 毒 产 品 、 防 病毒 网 关 和 邮件 防 病毒 网 关上 截获 的 危险 病毒 或 恶意 代码 
进行 及 时 分 析 处 理 ， 并 形成 书面 的 报表 和 总 结汇 报 


2 系统 运 维 第 
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2， 风险 控制 

(1) 风险 点 〈1-2) 

事前 处 置 : 终端 在 接 入 系统 前 ， 必 须 安 装 终 端 防 病毒 软件 ， 并 且 满 足 软件 版 本 和 病毒 库 
的 检查 要 求 ， 然 后 才能 接 入 到 网 络 使 用 ; 没有 安装 防 病 毒 的 软件 的 终端 或 者 软件 版 本 和 病毒 
库 版 本 不 符合 检查 要 求 不 允许 接 入 到 网 络 ， 并 通知 管理 人 员 安 装 防 病毒 软件 。 

事 中 处 置 : 在 运行 中 发 现 终端 未 安装 防 病毒 软件 〈 包 含 入 网 之 前 已 经 安装 但 是 入 网 之 后 
印 载 或 者 停 用 )， 马 上 将 该 终端 断 开 网 络 访问 ， 并 上 报 管 理 人 员 ， 人 恢复 后 再 接 入 网 络 。 


事后 处 置 对 于 该 类 风险 ， 保 留 日 志 记 录 ， 如 果 出 现 安全 事件 ， 可 以 退 溯 责任 人 。 
控制 流程 见 图 A-4。 


终端 防 病 毒 软件 查 杀 风险 


终 闹 使 用 人 系统 管 


ND 


准备 接 入 网 络 


< 事前 阶段 > 


检测 终端 防 
病毒 安装 情况 


和 人 
心 
Ss 
下 
慷 
V 
人 
工 
奈 
IE 
骨 


(2) 风险 点 (3-9) 

事前 处 置 : 终端 入 网 前 先 统一 规范 防 病毒 的 软件 版 本 和 病毒 库 升 级 要 求 ， 经 过 安全 检查 
验证 符合 规范 的 终端 才能 接 入 网 络 。 

事 中 处 置 : 接 入 网 络 后 ， 如 果 发 现 终 端 未 保持 一 直 启 用 防 病毒 程序 ， 则 立即 禁止 访问 网 
络 ， 待 恢复 启用 后 再 准 入 网 络 ， 规 定 病毒 检查 策略 ， 统 一 按照 规范 进行 病毒 的 处 理 ， 同 时 ， 
病毒 库 要 保持 定时 更 新 ， 知 未 按照 规范 更 新 病毒 库 ， 则 应 提醒 终 问 使 用 者 ， 提 醒 多 次 未 处 理 
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的 终端 限制 网 络 使 用 ， 隔 离 到 受 限 区 域 防止 影响 整个 网 络 的 安全 。 
事后 处 置 ， 对 于 该 类 风险 ， 保 留 日 志 记录 ， 如 果 出 现 安全 事件 ， 可 以 追溯 责任 人 。 
控制 流程 见 图 A_5。 


终端 防 病毒 软件 得 杀 风险 


终端 使 用 人 


(3) 风险 点 (10) 

事前 处 置 : 终端 安装 前 安全 管理 人 员 应 该 评估 多 种 防 病毒 软件 的 功能 与 性 能 ， 统 一 防 病 
毒 软件 的 使 用 ， 定 期 考察 防 病毒 软件 的 功能 ， 确 认 正 常 后 再 推广 应 用 。 

事前 处 置 : 防 病 毒 病 毒 得 杀 能 力 失 效 后 ， 先 暂时 采取 断 网 处 理 并 通知 安全 管理 人 员 然 后 
仿 查 原因 ， 排 查 故 障 ， 人 处 理 完成 后 再 接 入 网 络 运行 。 

事后 处 置 : 对 于 该 类 风险 ， 保 留 日 志 记 录 ， 如 果 出 现 安全 事件 ， 可 以 退 调 责任 人 。 

控制 流程 见 图 A-6。 

3， 风险 控制 效果 

1) 可 以 保证 接 入 网 络 的 终端 均 安 装 统一 要 求 的 防 病毒 软件 。 

2) 可 以 保证 接 入 网 络 的 终端 防 病毒 软件 的 版 本 和 病毒 库 版 本 保持 与 安全 策略 定义 一 致 。 
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3) 可 以 保证 接 入 网 络 的 终端 上 的 防 病毒 软件 始终 正常 运行 。 

4) 如 果 用 户 或 管理 员 怀 疑 某 台 终端 已 经 感染 病毒 或 森马 ， 既 可 以 由 终端 使 用 者 自行 在 
终端 上 通过 杀毒 软件 进行 查 杀 ， 又 可 以 由 管理 员 远程 调用 终端 上 的 杀毒 软件 进行 查 杀 。 这 种 
方式 能 够 提供 更 进一步 的 保证 。 


终端 防 病毒 软件 查 杀 风险 


终 闹 使 用 人 系统 管理 员 安全 管理 员 
a 
所 es 
DR 
尾 
入 
下 
区 
下 
入 
ie 
ee 


图 A-6 


A.1.4 终端 应 用 软件 检查 风险 (8 个 风险 点 ) 


1. 风险 分 析 

(1) 风险 描述 

终端 应 用 软件 是 终端 使 用 者 日 常 应 用 接触 最 多 的 部 分 ， 用 户 的 大 部 分 工作 都 需要 通过 应 
用 软件 完成 。 如 果 不 对 应 用 软件 进行 管控 ， 由 用 户 随意 安装 、 御 载 、 使 用 ， 存 在 如 下 风险 : 

1) 如 果 用 户 日 党 工作 需要 的 软件 没有 安装 ， 会 导致 用 户 无 法 正常 进行 工作 。 

2) 如 果 用 户 日 常 工作 需要 的 软件 被 钊 载 ， 同 样 会 导致 用 户 无 法 正常 进行 工作 。 

3) 如 果 用 户 安装 了 与 工作 无 关 的 某 些 软件 并 使 用 ， 可 能 会 在 工作 时 间 做 与 工作 无 关 的 
事情 ， 影 响 工 作 效 率 。 

4) 如 果 用 户 安装 了 某 些 占用 带宽 严重 的 下 载 软件 ， 在 使 用 时 会 对 网 络 带宽 造成 严重 影 
响 ， 使 得 网 络 的 可 用 性 下 降 。 
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(2) 相关 风险 点 
终端 应 用 软件 检查 风险 见 表 A-7。 


表 A-7 
隐患 /风险 
软件 的 情况 统计 原 隐患 
风险 
次 生 风 险 风险 
次 生 风 险 风险 
LF 后 不 能 印 载 次 生 风 险 风险 
应 用 软件 原生 风险 隐患 
应 用 软件 不 告警 次 生 风险 隐患 
禁止 终端 卸载 正常 的 应 用 软件 ， 但 终端 仍 扼 载 次 生 风险 风险 


(a) 基于 资产 使 用 生命 周期 分 析 

风险 点 〈1-8): 这 些 风 险 主 要 涉及 资产 的 入 网 前 和 运行 阶段 ， 维 修 和 报废 阶段 ， 终 端 不 运 
行 ， 这 些 风 险 的 影响 较 小 。 入 网 前 ， 如 果 终 端 上 安装 了 非法 软件 ， 只 会 影响 终端 自身 的 使 用 ， 
不 会 对 整个 网 络 造成 大 的 影响 ， 风 险 较 低 。 入 网 后 ， 如 果 终 端 必须 安装 的 软件 安装 不 完整 ， 会 


导致 相关 工作 无 法 开展 ， 如 采 终 端 上 安 疾 了 非法 软件 ， 会 导致 信息 泄漏 ， 如 果 安 装 了 下 载 类 的 
软件 ， 会 导致 网 络 流量 异 第 ， 影 响 网 内 其 他 用 户 的 带 客 使 用 。 如 果 安 装 的 是 与 工作 无 天 的 软 
件 ， 还 会 影响 终端 用 户 的 工作 效率 。 运 行 时 ， 如 果 不 能 对 终端 进行 软件 安装 和 仓 载 ， 会 导致 终 
端 应 用 软件 使 用 不 可 控制 ， 不 能 为 终 端 安装 需要 安装 的 软件 ， 会 导致 再 要 使 用 的 软件 无 法 使 
用 ; 不 能 为 终端 凶 载 非法 软件 ， 造 成 信息 泄漏 ， 或 者 影响 业务 正常 使 用 等 风险 。 

(b) 相关 信息 风险 

Ga 在 线 信 息 风 险 

风险 点 《1-8): 不 能 统计 应 用 软件 的 安装 情况 ， 会 导致 终端 出 现 需 要 安装 的 软件 没有 安 
装 ， 茶 止 安 闭 的 软件 被 安装 等 情况 。 如 采 不 能 管控 软件 的 安装 ， 当 非法 软件 被 安 闭 时， 就 不 
能 印 载 ， 影 响 工 作 效 率 ， 会 影响 在 线 信 息 的 处 理 ;， 如 果 是 恶意 软件 被 安装 ， 还 有 可 能 引发 在 
线 信息 泄漏 的 风险 。 

) 存储 信息 风险 

风险 点 〈1-8): 恶意 软件 被 安 疼 ， 可 能 会 引发 存储 信息 泄漏 的 风险 。 

(Ce) 基于 资产 使 用 人 分 析 

Ga 内 部 人 员 

该 类 风险 发 生 在 高 级 管理 岗位 《如 高 层 领导 )， 由 于 其 终端 含有 企业 核心 信息 和 涉 密 信 
恩 ， 风 险 非 党 高 。 该 类 风险 发 生 在 部 门 主 管 、 网 络 管理 员 、 配 置 管理 员 、 系 统管 理 员 、 财 务 
部 人 员 等 关键 岗位 业务 人 员 ， 则 由 于 该 类 终端 对 业务 支撑 非常 关键 ， 且 一 般 包 含 关 键 业务 信 
四 ， 风 险 较 高 。 如 果 该 类 风险 发 生 在 生产 人 员 、 办 公 人 员 等 ， 则 由 于 该 类 终端 支持 业务 和 对 
正常 运营 起 保障 作用 ， 相 当 重 要 ， 风 险 为 中 。 

中) 临时 人 员 

如 果 该 类 风险 发 生 在 辅助 人 员 岗 位 〈 如 食 音 、 车 队 、 绿 化 等 人 员 )， 则 该 类 终端 一 般 不 
涉及 业务 、 不 包含 敏感 信息 ， 风 险 为 低 。 
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Cc) 外 来 人 员 

风险 点 1-8: 该 风险 不 涉及 此 类 人 员 。 
Cd) 合 规 性 要 求 

合 规 性 要 求 见 表 A-8。 


表 A-8 


7.2.5.5 监控 管理 和 安全 管理 中 心 (G3) 


1 应 对 通信 线路 、 主 机 、 网 络 设备 和 应 用 软件 的 运行 状况 、 网 络 流 
量 、 用 户 行为 等 进行 监测 和 报警 ， 形 成 记录 并 妥善 保存 


2， 风 险 控制 

事前 处 置 : 在 终端 接 入 网 络 之 前 ， 检 查 应 用 软件 的 安装 和 运行 情况 ， 作 为 准 入 条 件 的 一 
部 分 。 只 有 符合 准 入 条 件 的 终端 才 人 允许 接 入 网 络 正常 使 用 。 

事 中 处 置 : 在 终端 接 入 网 络 运行 后 ， 定 期 检查 应 用 软件 安装 和 运行 情况 。 当 终端 安装 新 
软件 时 ， 需 要 进行 新 软件 安装 审批 流程 ， 并 对 终端 下 发 安全 策略 ， 安 全 策略 规定 哪些 软件 不 
能 随意 芭 载 ， 并 对 已 安 闭 限制 网 络 内 使 用 的 软件 ， 终 端 应 该 提示 终端 用 户 秋 载 ， 当 终端 根据 
工作 需要 必须 运行 安装 和 运行 条 些 软件 ， 需 要 进行 申请 ， 得 到 主管 领导 和 信息 安全 的 审核 之 
后 才能 放 开 限制 。 

事后 处 置 : 统计 应 用 软件 的 种 类 、 版 本 等 信息 ， 对 违反 软件 安装 琐 上 略 的 行为 予以 汇总 通 
报 ， 并 且 记 录 安 装 日 志 ， 为 日 后 安全 事件 渊源 提供 依据 。 

控制 流程 见 图 A-7。 
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3， 风 险 控制 效果 

通过 终端 应 用 软件 检查 控制 确保 终端 能 够 安装 必需 的 软件 、 保 证 终端 不 安装 禁止 使 用 的 
软件 ， 为 终端 的 正常 工作 提供 有 力 的 技术 保障 。 


A.1.5 终端 系统 补丁 风险 (6 个 风险 后 ) 


1. 风险 分 析 

(1) 风险 描述 

根据 调查 表明 ， 病 毒 、 晴 虫 、 木 马 的 肆虐 以 及 频 出 的 网 络 攻 击 行为 大 部 分 都 是 利用 
了 操作 系统 或 者 应 用 软件 的 漏洞 。 因 此 终端 系统 的 补丁 是 否 及 时 打上 ， 与 终端 的 安全 程 
度 密切 相关 。 如 果 终 端 没 有 及 时 打上 补丁 ， 病 毒 木 马 可 能 就 会 利用 该 漏洞 ， 使 终端 机 器 
感染 病毒 程序 ， 一 些 别 有 用 心 的 人 也 会 利用 该 漏洞 视 取 网 络 内 的 信息 ， 造 成 泄密 事件 的 
发 生 。 

(2) 相关 风险 点 

终端 系统 补丁 风险 点 详 见 表 A-9。 


不 能 识别 终端 已 经 安装 的 补丁 的 补丁 号 、 补 丁 描述 、 补 丁 级 别 、 
补丁 类 型 和 安装 时 间 等 信息 


不 能 识别 终端 尚未 安装 的 补丁 信息 ， 具 
述 、 补 丁 级 别 、 补 丁 类 型 等 信息 的 风险 


洽 硅 司 闻 


不 能 统一 安装 补丁 
不 能 对 终端 补丁 安装 前 进行 验证 


安装 补丁 后 引发 系统 骨 恋 不 能 进行 补丁 回 j 


(a) 相关 资产 使 用 生命 周期 

风险 点 (1-4): 该 类 风险 涉及 入 网 前 与 运行 阶段 。 入 网 前 ， 如 果 不 打 补丁 ， 会 带 来 运 
行 阶段 的 安全 风险 ;运行 中 ， 可 能 会 出 现 新 的 各 种 补丁 ， 不 及 时 打上 ， 会 导致 安全 事件 的 
发 生 ， 影 响 生 产 系统 业务 稳定 的 运行 。 平 台 如 果 不 能 发 现 终端 是 否 安 逆 了 补丁 信息 ， 就 不 
能 及 时 为 系统 打上 补丁 。 如 果 系 统 不 打 补 丁 ， 可 能 被 人 利用 ， 造 成 病毒 、 晴 虫 、 木 马 以 及 
网 络 攻 击 事件 的 发 生 ， 进 而 引发 泄密 事件 的 发 生 。 如 果 不 加 以 防范 ， 导 致 的 损失 较 大 ， 风 
险 较 高 。 

风险 点 〈5-6): 该 类 风险 主要 出 现在 运行 阶段 ， 如 果 平 台 不 能 对 终端 将 要 安装 的 补丁 进 
行 验证 ， 可 能 会 导致 终端 安装 补丁 后 朋 涡 ， 造 成 终端 不 可 用 ， 影 啊 业 务 的 正常 运行 。 如 果 终 
端 安装 安装 完 补丁 后 出 现 系 统 朋 尝 ， 不 能 够 进行 补丁 回 退 ， 造 成 终端 不 可 用 ， 会 影响 业务 的 
正常 运行 。 

(b) 相关 信息 风险 

(a) 在 线 信息 风险 

风险 点 (1-4): 如 果 不 能 获取 终端 已 经 安装 或 者 未 安装 补丁 的 信息 ， 就 不 能 及 时 给 终端 
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或 者 提醒 终端 安装 最 新 的 补丁 。 如 果 补 丁 未 安装 就 在 线 运 行 ， 系 统 很 容易 被 病毒 木马 控制 。 
如 果 病 毒 在 网 络 内 泛滥 ， 引 起 网 络 堵塞 ， 造 成 在 线 信息 无 法 使 用 。 如 果 终 端 被 木马 控制 ， 可 
能 会 造成 泄密 事件 的 发 生 。 

风险 点 (5-6): 如 果 和 平台 不 能 进行 补丁 验证 以 及 补丁 回 退 ， 终 端 安装 补丁 后 可 能 会 引起 
骨 尝 ， 造 成 终端 不 可 用 ， 进 而 影响 业务 工作 正常 的 在 线 信息 的 处 理 。 

(pb) 存储 信息 风险 

风险 点 (1-4): 该 风险 可 能 导致 终 问 上 存储 的 信息 或 者 网 络 上 传输 的 信息 被 恶意 代码 镭 
取 ， 造 成 信息 泄漏 。 

风险 点 (5-6): 该 风险 可 能 会 导致 存储 信息 丢失 。 

(c) 相关 人 员 风 险 

(@) 内 部 人 员 

风险 点 (1-6): 该 类 风险 发 生 内 部 人 员 ， 在 高 级 管理 岗位 〈 如 区 域 负 责 人 等 领导 )， 
由 于 其 终端 含有 企业 核心 信息 和 涉 密 信息 ， 风 险 非常 高 。 该 类 风险 发 生 在 地 市 部 门 主 
管 、 网 络 管理 员 、 配 置 管理 员 、 系 统管 理 员 、 财 务 部 人 员 等 关键 岗位 业务 人 员 ， 则 由 于 
该 类 终端 对 业务 支撑 非常 关键 ， 且 一 般 包 售 关 键 业 务 信 息 ， 风 险 较 高 。 如 果 该 类 风险 发 
生 在 开发 人 员 、 研 发 人 员 等 ， 则 由 于 该 类 终端 支持 业务 和 对 正常 运营 起 保障 作用 ， 相 当 
重要 ， 风 险 为 中 。 

(@) 临时 人 员 

风险 点 (1-6): 如 果 该 类 风险 发 生 在 临时 人 员 岗 位 《如 食堂 、 车 队 、 绿 化 等 人 员 )， 该 
类 终端 一 般 不 涉及 业务 、 不 包含 敏感 信息 ， 风 险 为 低 。 

(Cc) 外 部 人 员 

风险 点 (1-6): 一 般 不 会 涉及 外 部 人 员 。 

(d) 合 规 性 要 求 

合 规 性 要 求 见 表 A-10。 


表 A-10 
序 
7.2.5.7 系统 安全 管理 〈G3 ) 
系统 运 给 c) 应 安装 系统 的 最 新 补丁 程序 ， 在 安装 系统 补丁 前 ， 首 先 在 测试 
人 环境 中 测试 通过 ， 并 对 重要 文件 进行 备份 后 ， 方 可 实施 系统 补丁 程 


序 的 安装 


2， 风险 管控 

事前 处 置 ， 对 于 终端 系统 补丁 的 风险 ， 在 终端 入 网 前 ， 需 要 进行 补丁 的 安装 ， 在 大 面积 
给 终端 安 闭 重要 补丁 包 前 要 搭建 测 斌 环境， 人工 验 证 补丁 无 误 后 再 行 在 终端 上 安装 。 

事 中 处 置 : 终端 入 网 后 ， 平 台 采 集 识别 补丁 包 信 息 ， 对 未 安装 补丁 的 终端 及 时 提示 告 
警 信息 ， 并 详细 向 客户 描述 补丁 包 情 况 、 威 胁 等 级 等 ， 提 醒 用 户 下 载 安装 或 者 强制 用 户 安 
装 补 丁 。 

事后 处 置 : 对 于 该 类 风险 ， 保 留 日 志 记 录 ， 如 果 出 现 安全 事件 ， 可 以 追溯 责任 人 。 

控制 流程 见 图 A-8。 
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终端 防 病毒 软件 查 杀 风险 


终 病 使 用 人 


准备 接 入 网 络 


3. 风险 控制 效果 
通过 补丁 管理 ， 可 以 及 时 进行 补丁 安装 ， 减 少 系 统 脆弱 性 ， 预 防 肾 虫 、 病 毒 、 木 马 的 
攻击 。 


A.1.6 终端 软件 自动 分 发 风险 (8 个 风险 点) 


1. 风险 分 析 

(1) 风险 描述 

当 需 要 为 终端 统一 安装 新 的 应 用 软件 时 ， 管 理 员 需 要 到 终端 处 手工 安装 ， 并 且 手 工 统计 
安装 结果 。 手 工 给 终端 安装 软件 存在 的 风险 有 人 工 安装 软件 占用 管理 员 大 量 时 间 ， 另 外 也 可 
能 会 漏 装 软件 ， 降 低 了 工作 效率 。 管 理 员 手 工 统计 安装 结果 ， 有 可 能 统计 错误 。 

为 了 解决 上 述 问 题 ， 可 以 采取 终端 软件 自动 分 发 的 方式 ， 集 中 统一 为 终端 需要 安装 的 软 
件 进 行 自动 分 发 ， 并 自动 在 终端 上 运行 。 但 软件 的 自动 分 发 也 存在 下 面 的 风险 : 

1) 统一 进行 了 软件 自动 分 发 ， 并 显示 成 功 分 发 ， 但 终端 还 是 没有 安装 该 软件 ， 造 成 必 
要 的 软件 没有 安装 。 

2) 统一 进行 了 软件 自动 分 发 ， 并 成 功 分 发 ， 但 分 发 的 软件 在 终端 上 不 能 安装 ， 造 成 分 


事前 阶段 


区 事 中 阶段 
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发 软件 安装 不 成 功 。 
必须 对 需要 进行 自动 分 发 的 软件 做 严格 规定 和 统一 管理 ， 只 有 那些 工作 和 业务 必需 的 软 
件 ， 才 应 归 到 自动 分 发 的 软件 范围 中 来 。 
(2) 相关 风险 点 
终端 软件 自动 分 发 风险 点 见 表 A-11。 


表 A-11 
序 号 风 险 点 风险 属性 隐患 /风险 
隐患 
隐患 
应 用 软件 自动 分 发 后 没有 分 发 成 功 原生 风险 隐患 
自动 分 发 后 没 分 发 成 功 无 告警 信息 = 风险 隐患 
be 不 能 设 定 软件 自动 分 发 时 间 质 生 风险 


分 发 的 应 用 软件 不 能 自动 安装 原生 风险 隐患 


:的 应 用 软件 不 能 自动 安装 没有 告警 信息 次 生 风险 隐患 


不 能 对 分 发 的 软件 分 发 成 功 数 、 分 发 成 功率 、 安 装 | 4 ow 
成 功 数 、 安 装 成 功率 等 信息 进行 统计 原生 风 民 总 


(a) 基于 资产 使 用 生命 周期 分 析 

风险 点 《〈1-8): 这 些 风险 主要 出 现在 资产 使 用 生命 周期 中 的 入 网 后 运行 阶段 。 入 网 前 ， 
终 剖 不 接 入 网 络 ， 无 法 对 该 终 症 进 行 软件 自动 分 发 操作 ;维护 和 报废 阶段 ， 终 端 不 运行 ， 也 
不 存在 这 些 风 险 。 终 剖 入 网 运行 后 ， 如 果 没 有 应 用 软件 自动 分 发 与 自动 安 竣 ,会 增加 管理 员 
的 工作 量 而 降低 工作 效率 。 男 外 终端 如 果 上 自行 安装 软件 也 可 能 安装 不 正确 或 者 安装 非法 软 
件 ， 轻 则 降低 终端 的 工作 效率 ， 重 则 可 能 会 造成 终端 泄密 事件 的 发 生 。 

(b) 相关 信息 风险 

Ga 在线 信息 风险 

风险 点 〈1-8): 不 能 进行 软件 分 发 ， 终 问 可 能 会 存在 由 于 没有 统一 的 软件 ， 影 响 对 在 线 
言 恩 的 处 理 ， 另 外 如 宋 软 件 分 发 的 时 间 不 能 控制 ， 可 能 会 增加 网 络 流量 ， 影 响 对 在 线 信 息 的 
处 理 。 

) 存储 信息 风险 

风险 点 〈1-8): 对 存储 信息 的 影响 不 是 很 大 ， 需 要 注意 的 就 是 当下 发 的 软件 较 多 时 ， 会 
占用 终端 的 存储 空间 ， 可 能 会 影响 后 续 的 存储 信息 。 

(Cc) 基于 资产 使 用 人 分 析 

G 内 部 人 员 : 该 类 风险 及 生 在 高 级 管理 网 位 (如 区 域 负 责 人 等 高 层 领 导 )， 由 于 其 
终端 含有 企业 核心 信息 和 涉 密 信息 ， 风 险 非 党 高 ;该 类 风险 发 生 在 部 门 主管 、 网 络 管理 
员 、 配 置 管理 员 、 系 统管 理 员 、 财 务 部 人 员 等 关键 岗位 业务 人 员 ， 则 由 于 该 类 终端 对 业 
务 文 撑 非 党 关键， 且 一 般 包 含 关 键 业务 信息 ， 风 险 较 高 ， 如果 该 类 风险 发 生 在 生产 人 
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员 、 办 公 人 员 等 ， 则 由 于 该 类 终端 支持 业务 和 对 正常 运营 起 保障 作用 ， 相 当 重 要 ， 风 险 


四) 临时 人 员 : 如 果 该 类 风险 发 生 在 辅 肪 人 员 岗 位 “如 食堂 、 和 车队、 绿化 等 人 员 )， 该 类 
终端 一 般 不 涉及 业务 、 不 包含 敏感 信息 ， 风 险 为 低 。 

(© 外 来 人 员 : 该 风险 不 涉及 此 类 人 员 。 

(d) 合 规 性 要 求 

合 规 性 要 求 详 见 表 A-12。 


表 A-12 


1 | 等 级 保护 中 没有 明确 对 软件 分 发 的 要 求 


2.， 风险 控制 

事前 处 置 : 在 终端 接 入 网 络 之 前 ， 检 查 应 用 软件 的 安装 和 运行 情况 。 作 为 准 入 条 件 的 一 
部 分 ， 只 有 符合 准 入 条 件 的 终端 才 允 许 接 入 网 络 正常 使 用 业务 ， 不 符合 准 入 条 件 的 终端 ， 需 
要 安装 指定 的 软件 。 对 于 可 能 引起 神 突 的 软件 ， 允 进行 小 范围 的 测试 ， 避 免 未 经 过 验证 的 大 
范围 直接 处 理 ， 导 致 影 呈 业 务工 作 和 网 络 安 全 。 

事 中 处 置 : 在 终端 接 入 网 络 运行 后 ， 根 据 工 作 和 业务 需要 为 不 同 的 终端 分 发 不 同 的 软 
件 ， 保 证 终端 的 应 用 ， 在 分 发 中 要 根据 软件 的 数量 来 确定 分 发 时 间 ， 避 免 因 分 发 给 网 络 带 来 
额外 的 负担 ， 影 响 正 党 业务 的 处 理 。 

事后 处 置 : 统计 软件 包 分 发 及 运行 的 结果 进行 检测 和 记录 与 否 ， 包 括 软件 的 分 发 成 功 忆 
数 、 分 发 成 功 数 、 分 发 成 功率 、 安 装 成 功 数 、 安 状 成 功率 。 

3. 风险 控制 效果 

软件 分 发 时 可 以 根据 网 络 带宽 使 用 情况 和 网 络 流量 的 大 小 ， 灵 活 设 定 软件 分 发 所 占用 的 
网 络 市 宽 ， 避 免 软件 分 发 对 正 钊 应 用 产生 影 啊 。 

为 不 同 的 应 用 分 发 不 同 的 软件 包 ， 软 件 分 发 文 持 用 户 按 不 同 的 应 用 、 部 门 、 客 尸 机 等 制 
定 不 同 的 软件 包 分 发 策略 ， 以 满足 不 同 的 应 用 对 不 同 应 用 软件 的 需求 。 


区 终 靖 环境 安全 风险 〈BR1.2) 


A.2.1 终端 网 络 运 行 环境 风险 (7 个 风险 点 ) 


1， 风 险 分 析 

(1) 风险 描述 

终端 网 络 设备 管理 主要 体现 在 对 网 卡 设 备 的 管理 和 网 络 参数 的 配置 。 

网 卡 设 备 随 着 科技 的 发 展 ， 形 状 越 来 越 小 ， 且 出 现 了 支持 热 插 拔 的 网 卡 设 备 。 随 着 网 卡 
设备 的 发 展 ， 其 便携 性 和 可 热 插 拔 性 给 网 卡 的 应 用 带 来 了 很 大 的 方便 。 个 别 终 端 用 户 或 者 别 
有 用 心 的 人 员 就 可 能 在 终端 设备 上 增加 多 个 网 卡 ， 同 时 实现 终端 的 外 联 和 内 联 ， 这 必 将 带 来 
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言 息 外 泄 的 风险 。 同 时 在 联网 的 过 程 中 ， 个 别人 员 通 过 网 络 大 量 下 载 文件 ， 或 者 由 于 客户 端 
带 蠕虫 病毒 、 木 马 等 ， 攻 击 别 的 设备 和 服务 器 ， 这 都 会 造成 信息 外 泄 、 网 络 带 宽 占 用 、 病 毒 
感染 传播 等 风险 。 

网 络 参 数 的 配置 应 该 遵循 统一 的 规范 。 网 络 规划 是 网 络 安全 的 基础 ， 也 是 网 络 管理 过 程 
中 跟踪 和 定位 的 前 提 ， 终 端 使 用 者 自行 修改 网 络 参 数 的 配置 ， 是 混淆 管 理 员 跟踪 的 常用 方 
式 ， 也 是 变更 网 络 使 用 权限 的 常见 操作 。 

(2) 相关 风险 点 


终端 网 络 环境 


FE 后 ， 不 能 控制 哪 块 网卡 的 禁用 或 


终端 IP/MAC 地 址 绑 定 后 ， 不 能 发 现 终端 克隆 其 人 
MAC 地 址 

(a) 相关 资产 使 用 生命 周期 

风险 点 (1-5): 该 类 风险 主要 出 现在 资产 使 用 生命 周期 的 运行 阶段 ， 异 党 的 网 络 流量 会 
影响 正常 的 业务 运行 ， 终 端 多 网 卡 现象 会 导致 非法 外 联 ， 控 制 不 力 将 导致 泄密 事件 的 发 生 ; 
IP/MAC 地 址 不 绑 定 会 出 现 IP 地 址 盗用 的 现象 。 该 类 风险 如 果 不 加 以 防范 ， 会 导致 安全 事件 
的 发 生 ， 导 致 的 损失 较 大 ， 风 险 较 高 。 入 网 前 、 维 护 和 报废 阶段 ， 终 端 独立 运行 ， 不 接 入 网 
络 ， 不 存在 该 类 风险 。 

风险 点 (6-7): 该 类 风险 主要 出 现在 资产 使 用 生命 周期 的 运行 阶段 ， 平 台 发 现 终端 使 用 
多 网 卡 后 ， 如 果 不 能 控制 哪 块 网 卡 的 局 停 ， 而 采用 全 部 断 网 的 方式 解决 问题 ， 可 能 会 影响 终 
端正 常 的 业务 行为 ， 因 此 平台 能 够 单独 控制 哪 块 网卡 的 启 停 ， 禁 挥 非法 安装 的 网 卡 ， 启 用 正 
常 的 网 卡 。 如 果 终 端 克隆 其 他 人 的 全 、MAC 地 址 信息 ， 可 能 会 导致 非 授 权 的 访问 行为 发 
生 ， 一旦 出 现 安 全 事件 ， 也 会 影响 日 后 的 溯源 。 入 网 前 、 维 护 和 报废 阶段 ， 终 端 独立 运行 ， 
不 接 入 网 络 ， 不 存在 该 类 风险 。 

(b) 相关 信息 风险 

人) 在 线 信 息 风 险 

风险 点 (1-5): 如 果 平 台 不 能 对 终端 的 异常 流量 、 使 用 多 网 卡 以 及 对 IP/MAC 地 址 进行 
绑 定 等 控制 ， 异 常 的 网 络 流量 会 影响 在 线 运 行 的 业务 系统 ; 终端 多 网 卡 现象 会 导致 非法 外 
联 ， 控 制 不 力 将 导致 在 线 信息 汽 密 ; IP/MAC 地 址 不 绑 定 会 出 现 人 P 地 址 盗用 的 现象 ， 影 响 在 
线 信息 的 外 泄 ， 该 类 风险 如 果 不 加 以 防范 ， 会 导致 安全 事件 的 发 生 ， 导 致 的 损失 较 大 ， 风 险 
较 高 。 


风险 点 《〈6-7): 如 果 平 台 不 能 对 终端 使 用 的 多 网 卡 进行 单独 的 控制 ， 会 影响 在 线 信息 及 
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时 处 理 ， 多 网 卡 行为 也 会 导致 非 法 外 联 事 件 的 发 生 ， 可 能 
如 果 别 有 用 心 的 人 克隆 其 他 人 的 IP、MAC 地 址 信息 ， 可 
为 发 生 ， 进 而 引发 在 线 信息 泄密 事件 的 发 生 。 

@) 存储 信息 风险 

风险 点 (1-5): 主要 影响 的 是 在 线 的 信息 ， 对 存储 信息 的 影响 较 小 。 

风险 点 〈6-7): 对 存储 信息 影响 较 大 ， 如 果 控 制 不 好 ， 可 能 导致 非 授 权 的 访问 行为 ， 导 
致 存储 的 信息 外 泄 。 

(c) 相关 人 员 风 险 

Ga 内 部 人 员 

风险 点 (1-7): 该 类 风险 发 生 在 内 部 人 员 高 级 管理 岗位 (如 区 域 负责 人 等 高 层 领导 )， 
由 于 其 终端 含有 企业 核心 信息 和 涉 密 信 息 ， 风 险 非常 高 ， 该 类 风险 发 生 在 地 市 部 门 主管 、 
网 络 管理 员 、 配 置 管理 员 、 系 统管 理 员 、 财 务 部 人 员 等 关键 岗位 业务 人 员 ， 则 由 于 该 类 终 
端 对 业务 文 撑 非 党 关键 ， 且 一 般 包 含 关 键 业 务 信息 ， 风 险 较 高 ， 如果 该 类 风险 发 生 在 开发 
人 员 、 研 发 人 员 等 ， 则 由 于 该 类 终端 支持 业务 和 对 正常 运营 起 保障 作用 ， 相 当 重 要 ， 风 险 
为 中 。 

@) 临时 人 员 

风险 点 〈1-7): 如 果 该 类 风险 发 生 在 辅助 人 员 岗 位 〈 如 食堂 、 车 队 、 绿 化 等 人 员 )， 该 
类 终端 一 般 不 涉及 业务 、 不 包含 敏感 信息 ， 风 险 为 低 。 

(Cc) 外 来 人 员 

风险 点 (1-7): 该 风险 不 涉及 此 类 人 员 。 

(d) 合 规 性 要 求 

合 规 性 要 求 见 表 A-14。 


会 引起 在 线 信息 泄密 事件 的 发 生 。 
能 会 导致 在 线 信息 非 授权 的 访问 行 


2， 风 险 管控 

事前 处 置 : 入 网 前 检查 终端 是 否 安装 了 多 网 卡 ， 配 置 了 多 网 卡 的 终端 必须 禁用 超出 指定 
网 络 连 接 需 求 的 网 卡 后 才 允 许 接 入 网 络 ， 另 外 还 要 预先 配置 IP/MAC 地 址 绑 定 策略 ， 限 制 
BT 类 工具 运行 ， 以 免 影 响 网 络 流 量 。 

事 中 处 置 : 采集 网 卡 状 态 信息 ， 发 现 私自 修改 IP 地 址 或 者 了 不 对 应 则 告警 并 禁用 该 网 
卡 。 采 集 网 卡 流量 与 并 发 链接 数 ， 如 果 超 出 阔 值 则 告警 ， 并 禁用 该 网 卡 。 发 现 终端 安装 多 网 
上 EF， 直接 隔离 该 终端 ， 并 立即 派 专人 进行 查处 。 

事后 处 置 ， 对 于 该 类 风险 ， 保 留 日 志 记 录 ， 如 果 出 现 安全 事件 ， 可 以 追溯 责任 人 。 

控制 流程 见 图 A-9。 

3. 风险 控制 效果 

通过 有 效 监 控 网 卡 和 网 络 流量 ， 可 以 及 时 发 现 网 络 中 卫 地 址 变动 信息 ， 有 效 防止 非 授 
权 用 户 连 接 网 络 ， 防 止 病 毒 、 木 马 攻 击 进程 ， 有 效 预 防 网 络 异常 流量 和 进程 。 
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终端 网 络 运行 环境 风险 


终端 使 用 人 系统 管理 员 
准备 接 入 网 络 本 是 否 双 网 卡 。 


加 


网 络 
印 掉 多 余 网 卡 


图 A-9 
A.2.2 终端 防火 墙 风 险 ( 14 个 风险 点 ) 


1. 风险 分 析 

(1) 风险 描述 

终端 未 安装 软件 防火 墙 软件 :如果 终 端 不 安装 软件 防火 墙 软 件 ， 就 不 能 对 终端 的 访问 端 
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口 与 应 用 协议 进行 控制 ， 终 端 将 面临 数据 流 不 可 控 的 风险 。 恶 意 进程 、 端 口 、 协 议 不 加 以 及 
ns 册 安 全 性 得 不 到 保证 ， 会 威胁 整个 网 络 系统 。 
终 问 安装 软件 防火 墙 软件 如果 终端 安装 了 软件 防火 墙 软件 ， 但 不 能 检测 软件 防火 墙 软 

件 的 版 本 和 规则 特征 库 等 信息 ， 就 不 和 E 对 软件 防火 墙 软件 进行 有 效 的 升级 ， 进 而 影响 软件 防 
火 墙 软件 的 正常 使 用 。 如 果 软 件 防火 墙 软件 停止 启动 ， 而 又 不 能 恢复 启动 ， 就 相当 于 没有 安 
装 软件 防火 墙 软 件 ， 可 能 会 导致 泄密 事件 的 发 生 。 此 外 ， 如 果 防 火 墙 软件 不 能 进行 卫 、 端 口 
和 协议 的 有 效 访 问 控制 ， 就 会 给 恶意 进程 可 乘 之 机 ， 引 起 泄密 事件 的 发 生 ， 如 果 软 件 防 火 墙 
配置 了 访问 控制 规则 ， 但 访问 控制 规则 没有 生效 ， 防 火 墙 将 形同虚设 。 

(2) 相关 风险 点 

终端 防火 墙 风险 点 见 表 A-15。 


表 A-15 
TC 端 未 安装 防火 墙 软件 隐患 
g 端 未 安装 防火 墙 软件 ， 没 有 告警 信息 风险 
终端 安装 防火 墙 软件 后 ， 防 火 增 软 件 的 型 号 、 版 本 、 特 征 库 信息 不 能 发 现 陷 中 
终端 安装 防火 墙 软件 后 ， 和 系统 冲突 风险 
终端 防火 墙 软件 程序 和 特征 库 不 能 升级 到 最 新 状态 隐患 
用 着 “|6 | 终端 防火 墙 程序 处 于 未 运行 状态 隐患 
号 类 7 | 终端 防火 墙 程序 处 于 未 运行 状态 后 不 能 启动 防火 墙 程序 风险 
8 | 防火墙 程序 处 于 未 运行 状态 ， 没 有 告警 信息 风险 
9 | 终端 防火 墙 不 能 进行 人 P 地 址 控制 名 串 
10 | 终端 防火 墙 软件 采用 了 IP 地 址 控制 ， 但 控制 不 生效 风险 
| 终 请 防火墙 不 能 进行 端口 控制 陷 中 
2 | 终 庄 防火 墙 软件 采用 了 端口 控制 ， 但 控制 不 生 妈 风险 
13 | 终端 防火 墙 不 能 协议 控制 陷 中 
14 。 | 终 庄 防火 墙 软件 采用 了 协议 控制 ， 但 控制 不 生 风险 


(a) 基于 次 供 产 使 用 生命 周期 分 析 
资产 使 用 生命 周期 包含 入 网 前 、 运 行 阶段 、 维 修 阶段 、 报 废 阶段 ， 终 端 防火 墙 风险 在 资 
产 使 用 生命 周期 的 体现 如 下 : 
Tn i on 软件 
eb a 端 本 身 ， 且 因为 终端 未 接 入 网 络 ， 不 会 给 网 络 造成 威胁 。 如 果 终 端 未 
0 BS ee 如 果 在 入 网 前 阶段 如 果 
了 控制 ， 将 会 带 来 很 大 的 风险 ; 在 运行 阶段 ， 如 果 终 端 都 安装 了 防火 墙 软件 并 且 正 确 
使 用 ， 将 不 会 带 来 更 大 的 风险 ， 如 果 没 有 做 好 控制 措施 ， 会 带 来 更 大 的 安全 风险 。 
en Eo i aa 
软件 不 更 新 只 会 影响 终端 本 身 ， 且 因为 终端 未 接 入 网 络 ， 不 会 给 网 络 造成 威胁 。 这 些 风险 出 
现在 系统 运行 了 0 发 现 防火 墙 软件 的 版 本 特征 库 等 信息 ， 就 不 能 对 软件 防火 墙 软 
件 进行 有 效 的 升级 ， 进 而 影响 防火 墙 软件 的 正常 使 用 。 如 果 防 火 墙 软件 停止 启动 ， 而 又 不 能 
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恢复 启动 ， 就 相当 于 没有 安装 防火 墙 软 件 。 悉 意 程 序 可 能 会 控制 终端 系统 ， 造 成 泄密 事件 的 
发 生 。 该 类 风险 如 果 不 加 以 防范 ， 会 导致 安全 事件 的 发 生 ， 导 致 的 损失 较 大 ， 风 险 较 高 。 

风险 点 (9-14): 这 些 风险 主要 出 现在 运行 阶段 。 入 网 前 、 维 护 和 报废 阶段 ， 终 端 不 接 
入 网 络 ， 不 会 对 外 访问 ， 不 存在 这 些 风 险 。 这 些 风 险 出 现在 系统 运行 阶段 ， 如 果 终 端 软 件 防 
火 墙 不 能 启用 卫 地 址 、 端 口 以 及 协议 控制 规则 ， 很 容易 导致 安全 隐患 ， 恶 意 程序 可 能 会 控 
制 终端 系统 ， 造 成 泄密 事件 的 发 生 。 该 类 风险 如 果 不 加 以 防范 ， 会 导致 安全 事件 的 发 生 ， 导 
致 的 损失 较 大 ， 风 险 较 高 。 

(b) 相关 信息 风险 分 析 

@@) 在 线 信息 风险 

风险 点 (1-2): 软件 防火 墙 软 件 对 于 终端 运行 的 所 有 工作 均 起 到 保护 作用 ， 未 安装 软件 
防火 墙 软件 的 终端 容易 被 恶意 程序 控制 ， 进 而 导致 在 线 信 息 相 关系 统 不 能 正常 工作 ， 或 者 导 
致 敏感 信息 泄漏 。 

风险 点 (3-14): 软件 防火 墙 软件 的 正常 运行 ， 与 程序 版 本 和 特征 库 版 本 的 实际 情况 相 
结合 ， 在 线 信 息 与 此 关联 更 为 明显 ， 不 能 及 时 更 新 软件 防火 墙 软件 程序 版 本 和 特征 库 版 本 ， 
可 能 无 法 有 效 针 对 新 发 现 的 攻击 。 软 件 防火 墙 在 不 运行 或 者 访问 控制 规则 不 合理 时 ， 恶 意 程 
序 可 能 控制 终端 或 者 有 意 无 意 地 进行 非 授 权 的 访问 ， 进 而 导致 在 线 信 息 相 关系 统 不 能 正常 工 
作 ， 或 者 导致 敏感 信息 泄漏 。 

@) 存储 信息 风险 

风险 点 (1-14): 该 风险 可 能 导致 终端 上 存储 的 信息 被 恶意 代码 鳃 取 ， 造 成 信息 泄漏 。 

(c) 基于 资产 使 用 人 员 风 险 分 析 

@@) 内 部 人 员 

风险 点 (1-14): 该 类 风险 发 生 在 内 部 人 员 高 级 管理 岗位 (如 区 域 负责 人 等 高 层 领 导 )， 
由 于 其 终端 含有 企业 核心 信息 和 涉 密 信息 ， 风 险 非 常 高 ;该 类 风险 发 生 在 地 市 部 门 主 管 、 网 
络 管理 员 、 配 置 管理 员 、 系 统管 理 员 、 财 务 部 人 员 等 关键 岗位 业务 人 员 ， 则 由 于 该 类 终端 对 
业务 支撑 非常 关键 ， 且 一 般 包含 关键 业务 信息 ， 风 险 较 高 ; 如果 该 类 风险 发 生 在 开发 人 员 、 
研发 人 员 等 ， 则 由 于 该 类 终端 支持 业务 和 对 正常 运营 起 保障 作用 ， 相 当 重 要 ， 风 险 为 中 。 

@) 临时 人 员 

风险 点 (1-14): 如 果 该 类 风险 发 生 在 辅助 人 员 岗 位 (如 食堂 、 和 车队、 绿化 等 人 员 )， 该 
类 终端 一 般 不 涉及 业务 、 不 包含 敏感 信息 ， 风 险 为 低 。 

(oO 外 来 人 员 

风险 点 (1-14): 该 风险 不 涉及 此 类 人 员 。 

Cd) 合 规 性 要 求 

合 规 性 要 求 见 表 A-16。 


表 A-16 


7.1.2.5 入 侵 防 范 (G3) 


a) 应 在 网 络 边 界 处 监视 以 下 攻击 行为 : 端口 扫描 、 强 力 攻 击 、 
马 后 门 攻击 、 拒 绝 服务 攻击 、 缓 冲 区 溢出 攻击 、 卫 碎片 攻击 和 网 络 
蠕虫 攻击 等 
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2. 风险 管控 

(1) 风险 点 〈1-2) 

事前 处 置 : 终端 在 接 入 网 络 前 ， 必 须 安装 终端 防火 墙 软件 ， 并 根据 业务 需要 配置 合理 的 
访问 控制 规则 ， 然 后 才能 接 入 到 网 络 中 使 用 。 没 有 安装 防火 墙 的 软件 的 终端 不 允许 接 入 网 
络 ， 并 通知 相关 管理 人 员 给 终端 安装 防火 墙 软件 。 

事 中 处 置 : 在 运行 中 发 现 终 问 未 安装 防火 墙 软件 (可 能 是 被 人 凶 载 或 者 禁用 )， 马 上 将 
该 终端 断 开 网 络 访问 ， 并 上 报 管理 人 员 。 

事后 处 置 ， 对 于 该 类 风险 ， 保 留 日 志 记录 ， 如 果 出 现 安全 事件 ， 可 以 追溯 责任 人 。 

控制 流程 见 图 A-10。 


终端 网 络 运 行 环境 风险 


终 闹 使 用 人 


准备 接 入 网 络 


检测 终端 防火 墙 的 
安装 情况 


下 
夺 
人 
和 
全 
SS 
旦 
禄 


图 。 A-10 


(2) 风险 点 (3-8) 

事前 处 置 : 终端 入 网 前 按照 实际 业务 需求 情况 ， 先 配置 好 访问 控制 策略 和 软件 防火 墙 特 
征 库 升 级 策略 ， 然 后 接 入 网 络 。 

事 中 处 置 : 接 入 网 络 后 ， 关 闭 与 业务 系统 无 关 的 端口 ， 除 授信 的 耳 地址 可 以 访问 重要 
(敏感 ) 信息 终端 外 ， 其 他 IP 地 址 全 部 禁止 访问 。 重 要 (敏感 ) 信息 终端 只 能 访问 授信 的 IP 
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地 址 及 端口 ， 指 定 终端 仅 开放 与 业务 系统 相关 的 应 用 协议 。 如 果 终 端 未 启用 软件 防火 增 ， 应 
该 蔡 止 访问 网 络 ， 待 局 用 后 再 准 入 网 络 ; 终端 有 未 授权 的 访问 行为 ， 应 禁止 访问 网 络 并 及 时 
通知 管理 员 ; 男 外 ， 软 件 防火 墙 特 征 库 要 及 时 更 新 ， 未 更 新 的 采取 强制 更 新 的 措施 。 
事后 处 置 对 于 该 类 风险 ， 保 留 日 志 记 录 ， 如 果 出 现 安全 事件 ， 可 以 退 溯 责任 人 。 
控制 流程 见 图 A-11。 


终端 网 络 运 行 环境 风险 


终 曾 使 用 人 系统 管 


图 A-11 
(3) 风险 点 (9-14) 
事前 处 置 : 终端 安装 前 安全 管理 人 员 应 评估 软件 防火 墙 软件 的 功能 与 性 能 ， 保 障 软件 防 
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RS 终端 安全 风险 管理 
火 墙 软件 的 功能 正常 后 再 安装 并 接 入 网 络 ， 
事前 处 置 ， 软 件 防火 墙 访问 控制 规则 失效 后 ， 先 暂时 断 网 处 理 并 通知 安全 管理 人 员 ， 然 
后 检查 原因 ， 排 查 故障 ， 处 理 完 成 后 再 接 入 网 络 运行 。 
事后 处 置 ， 对 于 该 类 风险 ， 保 留 日 志 记录 ， 如 果 出 现 安全 事件 ， 可 以 追溯 责任 人 。 
控制 流程 见 图 A-12。 


终端 网 络 运行 环境 风险 


防火 墙 选 型 


软件 评估 


| 
规则 是 否 有 效 -0 


a 
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事 中 阶段 


事后 阶段 


图 A-12 


3， 风 险 控制 效果 

终端 软件 防火 墙 软件 ， 可 以 对 终端 的 人 P 访 问 、 端 口 访问 、 协 议 访问 、 共 享 服务 访问 等 
进行 限制 。 管 理 员 可 对 远程 卫 地 址 、 本 地 端口 、 远 程 端口 、 网 络 协议 、 是 否 开启 共享 端口 
等 进行 设置 ， 确 保 终端 仅 能 访问 指定 的 合法 也、 端口 和 协议 ， 从 而 可 以 有 效应 对 非法 访问 和 
保障 业务 数据 安全 。 
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终端 安全 基础 风险 | W 洒 人 


A.3.1 外 设 端口 管理 (1S 个 风险 点 ) 


1， 风险 分 析 

(1) 风险 描述 

内 网 终端 都 有 存储 设备 接口 ， 例 如 光驱 、 软 驱 、 USB 接口 、 串 并 口 和 红外 接口 等 。 从 终 
端 保护 的 角度 来 看 ， 通 过 外 设 端口 很 容易 造成 信息 泄漏 ， 这 类 风险 主要 表现 在 以 下 两 个 方面 : 

1) 内 部 员工 通过 外 设 端口 把 业务 信息 违规 带 离 业务 网 络 ， 对 外 扩散 或 者 泄密 ， 严 重 的 
可 能 造成 社会 事件 ， 或 者 随意 将 软件 、 游 戏 、 电 影 等 复制 到 内 网 终端 运行 ， 极 有 可 能 将 病 
毒 、 木 马 、 后 门 等 带 到 内 网 当中 ， 从 而 造成 对 网 络 和 信息 安全 的 破坏 。 

2) 通过 外 设 端口 进行 非法 外 联 ， 打 通 内 网 与 其 他 网 络 的 连接 。 

从 外 设 端口 保护 的 角度 来 看 ， 保 护 不 足 的 风险 主要 表现 在 以 下 几 个 方面 : 监控 缺失 风险 ， 
由 于 缺少 对 外 设 端口 的 监控 ， 将 导致 关键 主 机 数据 的 保护 失控 的 风险 ;标准 基线 风险 ， 由 于 事 
先 没 有 对 各 种 终端 的 外 设 端口 作出 详细 统计 ， 根 据 不 同 品牌 的 终端 和 工作 的 县 体 情况 做 出 允许 
的 外 设 端口 黑白 名 单列 表 ， 会 造成 不 能 有 效 地 识别 终端 的 可 以 使 用 和 不 允许 使 用 的 外 设 端口 ， 
进而 不 能 有 效 控制 外 设 端口 的 使 用 风险 ;加 载 了 外 设 端口 监控 策略 后 ， 导 致 一 些 需 要 使 用 特殊 
疹 口 的 业务 无 法 使 用 ， 或 造成 终端 监 屏 、 宕 机 严重 影响 业务 ， 造 成 终端 业务 持续 有 效 运行 的 风 
险 。 因 此 这 类 风险 的 可 知 、 可 控 、 可 管 十 分 重要 。 下 面 对 终 端 系 统 驱 动 风险 进行 详细 的 分 解 。 

(2) 相关 风险 点 

终端 外 设 端口 管理 风险 点 见 表 A-17。 
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SO 终 演 安全 风险 管理 

以 下 将 分 别 从 资产 使 用 生命 周期 、 相 关 信 息 安 全 、 资 产 使 用 人 员 和 合 规 性 4 个 方面 对 以 
上 15 个 风险 点 进行 详细 描述 。 

(a) 基于 资产 使 用 生命 周期 分 析 

资产 使 用 生命 周期 包含 入 网 前 、 运 行 阶段 、 维 修 阶段 、 报 废 阶段 ， 终 端 违规 网 络 访问 风 
险 按 照 资 产 使 用 生命 周期 的 分 析 如 下 : 

风险 点 (1-8): 该 类 风险 涉及 资产 使 用 生命 周期 阶段 为 运行 阶段 和 维修 阶段 。 终 端 外 设 
端口 管理 的 目的 在 于 通过 外 设 使 用 控制 、 监 控 、 审 计 等 安全 控制 措施 ， 防 止 通过 外 设 接口 造 
成 的 网 络 边界 完整 性 的 破坏 ， 最 终 导 致 敏感 信息 的 泄漏 。 因 此 ， 终 端 外 设 端口 类 风险 主要 发 
生 在 运行 阶段 ， 同 时 ， 设 备 维修 阶段 为 特殊 阶段 ， 许 多 在 线 监控 措施 和 管理 规定 将 会 失效 ， 
也 会 造成 敏感 信息 的 泄漏 。 

风险 点 〈9-10): 此 类 风险 由 于 涉及 目前 使 用 十 分 普遍 的 USB 端口 的 管控 ， 特 别 单独 分 
析 。 此 类 风险 涉及 资产 使 用 生命 周期 阶段 为 运行 阶段 和 维修 阶段 。 在 运行 阶段 ， 如 果 USB 
端口 不 能 得 到 有 效 管控 的 话 ， 用 户 可 以 违规 使 用 U 盘 、 移 动 硬 盘 复 制 文件 ， 出 现 数据 泄漏 的 
风险 ;另外 通过 USB 端口 ， 用 户 可 以 违规 连接 Modem、 手 机 导致 出 现 违 规 外 联 的 风险 ， 导 
致 数据 外 泄 无 法 管控 、 无 法 追踪 ， 破 坏 系统 安全 边界 ， 违 背 系统 整体 安全 防护 策略 。 

风险 点 〈11-12): 此 类 风险 涉及 资产 使 用 生命 周期 阶段 为 入 网 前 和 运行 阶段 。 由 于 没有 
在 入 网 前 期 对 所 有 的 在 用 终端 设备 进行 充分 调查 ， 就 设备 的 外 设 端口 情况 、 外 设 端口 与 业务 
的 关联 情况 得 出 一 套 白 名 单 ， 并 且 进 行 充 分 测试 验证 ， 一 旦 集中 加 载 策略 ， 可 能 会 造成 部 分 
终端 的 业务 不 可 用 ， 更 为 严重 的 会 造成 终端 蓝屏 、 死 机 。 

风险 点 〈13-15): 此 类 风险 涉及 资产 使 用 生命 周期 阶段 为 入 网 前 和 运行 阶段 。 由 于 临时 
或 特殊 的 情况 ， 需 要 开启 管控 的 端口 ， 而 端口 已 经 被 禁用 ， 就 会 造成 人 机 交互 类 设备 、 照 相 
机 、MP3 等 设备 不 能 使 用 ， 最 严重 的 是 需要 使 用 身份 识别 的 USBKey〔 人 硬件 数字 证 书 载体 ) 
类 设备 无 法 使 用 ， 导 致 以 此 相关 的 业务 无 法 开展 。 

(b) 基于 相关 信息 安全 关系 分 析 

相关 信息 安全 分 为 在 线 信息 风险 和 存储 信息 风险 ， 终 端 端口 管理 按照 相关 信息 安全 关系 
的 分 析 如 下 : 

风险 点 (1-8): 如 果 缺 失 有 关外 设 端 口 的 监控 措施 ， 一 旦 被 利用 ， 可 能 造成 文件 外 泄 ， 
因此 涉及 在 线 信 息 风 险 和 存储 信息 风险 。 

风险 点 (9-10): USB 端口 是 目前 使 用 最 为 广泛 的 外 设 端口 ， 如 果 其 监控 措施 缺失 ， 当 
终端 通过 USB 端口 违规 外 联 时 ， 终 端的 在 线 信 息 会 通过 外 联 泄漏 。 对 存储 信息 来 说 ， 终 端 
通过 USB 端口 可 以 将 终端 上 的 存储 信息 进行 算 改 和 泄漏 ， 风 险 较 高 。 

风险 点 〈11-12): 此 类 风险 主要 涉及 在 线 信息 和 存储 信息 风险 。 当 终端 正在 处 理 在 线 信 息 
时 ， 一 旦 加 载 的 外 设 端口 策略 影响 到 业务 的 正常 进行 ， 在 线 信 息 的 处 理 和 存储 都 会 受 影响 。 

风险 点 〈13-15): 此 类 风险 不 涉及 信息 风险 。 信 息 风 险 是 在 从 事业 务 的 时 候 出 现 的 ， 业 
务 已 经 不 能 开展 了 ， 因 此 不 会 涉及 信息 风险 。 

(c) 基于 资产 使 用 人 分 析 

资产 (终端 ) 使 用 人 包括 内 部 人 员 、 临 时 人 员 和 外 部 人 员 3 大 类 ， 而 内 部 人 员 可 以 再 细 
分 为 高 级 管理 者 、 关 键 业 务 人 员 和 网 络 管理 人 3 种 角色 ， 临 时 人 员 主 要 是 辅助 人 员 岗 位 (如 
食堂 、 车 队 、 绿 化 等 人 员 )， 而 外 部 人 员 包 括 外 来 厂商 运 维 人 员 和 系统 内 外 来 人 员 。 终 端的 
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使 用 者 因为 不 同 的 角色 和 不 用 的 操作 意图 ， 一 个 相同 的 风险 点 对 应 不 同 映 份 的 终端 使 用 人 风 
险 级 别 也 不 同 。 将 外 设 端口 风险 按照 终端 使 用 人 角色 分 析 如 下 : 

风险 点 (1-8): 该 类 风险 与 内 部 人 员 的 角色 级 别 有 关 。 

1) 高 级 管理 岗位 

《如 区 域 负责 人 等 高 层 领导 )， 其 终端 一 般 都 为 核心 终端 ， 终 端 上 的 信息 重要 程度 也 较 
高 ， 如 果 其 终端 的 管控 措施 不 力 ， 将 导致 终端 上 的 信息 泄漏 或 算 改 ， 风 险 较 高 。 

2) 地 市 部 门 主管 、 网 络 管理 员 、 配 置 管理 员 、 系 统管 理 员 、 财 务 部 人 员 等 关键 岗位 业 
务 人 员 ， 对 终端 和 网 络 有 比较 高 的 操作 权限 ， 如 果 对 外 设 端口 的 管理 不 到 位 ， 会 影响 整体 业 
务 的 运行 ， 风 险 较 高 。 

3) 对 网 络 管理 员 来 说 ， 主 要 体现 在 对 外 访问 的 端口 ， 如 果 不 进 行 管控 ， 会 导致 一 些 端 
口 在 网 络 上 开放 ， 风 险 较 高 : 对 于 临时 人 员 和 外 来 人 员 ， 一 般 情况 下 要 禁止 外 设 端口 的 使 
用 ， 不 人 允许 其 随意 打开 终端 的 端口 。 

风险 点 (9-10): 该 类 风险 与 内 部 人 员 的 角色 级 别 有 关 。 

1) 高 级 管理 岗位 〈 如 区 域 负责 人 等 高 层 领导 )， 对 USB 端口 存储 和 复制 一 定 要 实施 管 
控 ， 和 否则 其 掌握 的 重要 信息 容易 泄漏 ， 尽 量 做 到 专门 的 终端 和 专门 的 移动 存储 介质 使 用 ， 这 
类 风险 较 高 。 

2) 地 市 部 门 主管 、 网 络 管理 员 、 配 置 管理 员 、 系 统管 理 员 、 财 务 部 人 员 等 关键 岗位 业 
务 人 员 ， 也 必须 做 到 USB 端口 的 管控 ， 和 否则 重要 信息 容易 外 泄 ， 这 类 风险 较 高 。 

3) 对 网 络 管理 员 来 说 ， 必 须 限制 其 USB 端口 及 介质 的 使 用 ， 否 则 一 些 端口 在 网 络 上 开 
放 ， 风 险 较 高 ， 对 临时 人 员 和 外 来 人 员 来 说 ， 因 为 对 其 携带 的 介质 不 好 管控 ， 应 限制 这 类 人 
员 对 USB 端口 的 使 用 ， 在 制度 上 就 规定 该 类 人 员 不 允许 使 用 USB 外 设 端口 。 否 则 ，USB 端 
口 被 利用 ， 风 险 难 以 掌控 。 

风险 点 〈11-12): 对 于 临时 人 员 和 外 部 人 员 ， 因 无 法 事先 作出 驱动 程序 基线 ， 风 险 较 
大 ; 对 于 地 市 部 门 主管 、 网 络 管理 员 、 配 置 管理 员 、 系 统管 理 员 、 财 务 部 人 员 等 关键 岗位 业 
务 人 员 ， 以 及 高 级 管理 岗位 (如 区 域 负 责 人 等 高 层 领 导 )， 如 果 不 能 及 时 全 面 地 做 出 外 设 端 
口 管理 列表 ， 对 于 贸然 加 载 策 略 导致 业务 遭 到 影响 的 风险 较 大 。 

风险 点 (13-15): 该 风险 对 于 高 级 管理 岗位 (如 区 域 负责 人 等 高 层 领 导 ) 的 终端 的 正常 
使 用 风险 较 大 ， 对 于 网 络 管理 员 、 配 置 管理 员 、 系 统管 理 员 、 财 务 部 人 员 等 关键 岗位 业务 人 
员 的 终端 的 使 用 风险 较 大 ; 对 于 临时 人 员 和 外 部 人 员 风 险 不 大 。 

(d) 合 规 性 要 求 

合 规 性 要 求 见 表 A-18。 


表 A-18 


7.2.5.3 介质 管理 (G3) 


1 系统 运 维 管理 c) 应 对 介质 在 物理 传输 过 程 中 的 人 员 选 择 、 打 包 、 交 付 等 情况 进行 控制 ， 
对 介质 归档 和 查询 等 进行 登记 记录 ， 并 根据 存档 介质 的 目录 清单 定期 盘点 


2. 风险 管控 
每 类 风险 在 管控 过 程 中 ， 针 对 风险 的 事前 、 事 中 和 事后 3 种 状态 进行 监控 ， 做 到 事前 预 
防 ， 事 中 控制 、 事 后 审计 追查 。 下 面 的 外 设 端口 风险 管控 处 理 流 程 ， 尽 量 从 事前 、 事 中 和 事 
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RS 终端 安全 风险 管理 
后 3 方面 对 风险 管控 进行 描述 。 

(C1) 风险 点 《1-10); 外 设 端口 风险 管控 流程 

事前 处 置 ， 对 于 外 设 端 口 管理 的 风险 ， 需 要 制定 一 系列 的 管理 措施 ， 如 《主机 安全 管理 
制度 》， 其 中 需要 针对 现 有 不 同 的 品牌 终端 ， 按 照 不 同 的 外 设 端口 的 风险 高 低 ， 做 出 相应 的 
外 设 端 口 监控 策略 。 

事 中 处 置 ， 根 据 风 险 控制 策略 ， 实 施 控制 措施 ， 并 进行 实施 监控 ， 违 规 行为 及 时 告警 
通过 策略 /人 工 方式 阻 断 ， 并 进行 系统 日 志 信息 的 安全 存储 。 

事后 处 置 ， 对 于 违规 行为 ， 进 行 后 续 安全 审计 和 操作 追踪 ， 并 进行 违规 分 析 ， 进 行 策略 
调整 。 

风险 管控 流程 见 图 A-13。 


终端 网 络 运行 环境 风险 
终端 使 用 人 系统 管理 员 


外 设 端口 


本 


新 的 安全 策略 调整 安全 策略 关联 分 析 
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(2) 风险 点 〈11-12): 外 设 端口 监控 技术 本 里 风险 

事前 处 置 : 需要 制定 有 关 的 应 急 响 应 预案 ， 并 且 定 期 演练 ， 确 保 一 旦 加 载 策 略 导 致 出 现 
意外 ， 影 响 业 务 时 ， 能 够 及 时 启动 。 

事 中 处 置 : 一 旦 出 现 策 略 与 业务 的 兼容 性 问题 ， 需 要 有 逃生 机 制 ， 即 通过 人 工 外 载 策 
略 ， 确 保 业 务 的 顺利 进行 。 

事后 处 置 : 在 安全 主管 的 认可 下 启动 应 急 预 案 。 首 先 在 确保 业务 顺利 进行 的 前 提 下 ， 在 
本 地 人 工 更 新 或 番 载 策略 。 在 此 基础 上 再 考虑 其 他 问题 ， 如 策略 不 能 更 新 的 故障 原因 、 涉 及 
的 部 门 和 人 员 ， 造 成 问题 的 是 平台 本 身 的 性 能 原因 ， 还 是 其 他 问题 ， 这 些 问 题 是 否 在 管理 制 
度 中 作出 了 相关 规定 ， 是 否 需要 完善 或 补充 等 。 

风险 管控 流程 见 图 A-14。 


外 设 问 口 监控 技术 本 映 风险 


终端 使 用 人 安全 管理 员 
轿 软件 开发 管理 规范 有 


终端 访问 
日 志 


人 工 处 理 并 完善 
相关 制度 和 预案 


图 A-14 
(3) 风险 点 (13-15): 外 设 端口 临时 开局 管控 流程 
事前 处 置 : 在 常规 情况 下 ， 被 禁用 的 端口 不 允许 随意 开启 。 若 因 工 作 原 因 ， 需 要 开启 相 
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应 的 端口 时 ， 应 提交 申请 ， 由 管理 员 进 行 审核 ， 并 由 相关 领导 进行 批准 ， 方 能 开启 使 用 。 

事 中 处 置 ， 可 以 采取 两 种 流程 。 

1) 普通 申请 流程 ， 终 端 使 用 者 登录 相关 申请 页 面 ， 按 照 要 求 填写 申请 ， 逐 级 提交 申 
请 。 在 整个 申请 过 程 中 ， 依 据 实际 业务 流程 进行 自动 化 管理 ， 系 统 后 台 自 动 记录 申请 的 全 过 
程 ， 并 将 申请 批准 的 整个 过 程 写 入 数据 库 ， 便 于 安全 管理 负责 人 员 统一 管理 。 

2) 应 急 申请 流程 ， 该 应 急 申请 流程 主要 适用 于 主管 领导 不 在 现场 时 的 特殊 情况 。 申 请 者 
在 提交 申请 后 ， 由 管理 员 审 核 后 先进 行 功能 的 开放 和 处 理 。 待 主管 领导 回来 后 ， 管 理 员 将 临时 
处 理 的 端口 申请 事件 提交 主管 领导 重新 查阅 审批 ， 对 不 合格 的 申请 进行 事后 处 理 和 责任 追查 。 

事后 处 置 ， 对 临时 开启 端口 后 的 端口 使 用 行为 进行 日 志 记录 并 对 其 进行 关联 分 析 ， 找 出 
可 能 的 问题 并 对 下 发 策略 进行 完善 ， 然 后 重新 加 载 更 新 后 的 策略 。 

风险 管控 流程 见 图 A-15。 


外 设 端口 临时 开户 管控 流程 


填写 开启 外 设 
端口 申请 单 


开局 外 设 端口 
申请 单 


关闭 
关联 分 析 


2 调整 安全 策略 ~ 


图 A-15 
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3. 风险 控制 效果 

对 于 此 类 风险 涉及 的 终端 流量 异常 风险 ， 通 过 采取 管理 、 规 范 、 流 程 、 技 术 不 同 的 捕 
施 ， 分 别 从 事前 、 事 中 、 事 后 3 个 方面 来 加 以 控制 ， 可 以 基本 达到 风险 管 控 的 目的。 

通过 事前 对 不 同 角 色 的 用 户 ， 不 同时 间 的 业务 所 需要 的 外 设 端 吕 的 调查 ， 逐步 建立 各 种 

端的 外 设 问 口 列表 ， 这 些 端口 包括 软盘 驱动 器 、 光 盘 驱 动 器 、 串 行 通 信 口 、 并 行 通信 和 口 
is 

ee 口 临时 开局 的 审批 流程 和 制度 ， 避 和 免 不 能 临时 开启 一 些 被 禁止 
的 端口 而 影响 业务 的 风险 。 

Re 略 可 能 给 业务 带 来 风险 ， 需 要 根据 可 能 出 现 的 场景 ， 如 策略 与 业务 冲 
突 、 终 端 死机 等 场景 ， 制 定 应 急 预 案 并 做 定期 演练 ， 努 力 确 保 业 务 的 连续 性 和 可 靠 性 。 


A.3.2 ”外 设 设备 管理 


1， 风 险 分 析 

(1) 风险 描述 

外 设 设 备 主要 包括 U 盘 、 移 动 硬 盘 、 光 盘 刻 录 机 、 软 盘 ， 监 牙 /3G 手机 、 便 携 WIFI 和 
打印 机 、 图 形 仪 、 复 印 机 、 传 真 机 等 。 这 些 设备 如 果 不 进行 合理 管控 使 用 ， 极 有 

可 能 将 病毒 、 木 马 、 后 门 等 带 到 内 网 当中 ， 从 而 造成 难以 预见 的 破坏 ; 外 来 人 员 和 内 部 人 员 

E 利 用 这 些 设备 ， 将 内 网 敏感 信息 复制 打印 等 传播 到 外 网 ， 造 成 泄密 事件 的 发 生 。 

根据 这 些 外 设 的 用 途 ， 我 们 将 这 些 设备 分 成 3 类 ， 有 具体 分 类 如 下 : 

1) 存储 设备 ， 如 U 盘 、 移 动 硬盘 、 光 盘 刻 录 机 、 软 盘 。 

2) 外 联 设备 ， 如 蓝牙 /3G 手机 、 便 携 WIFI 和 无 线 网 卡 。 

3) 打印 设备 ， 如 打印 机 、 图 形 仪 、 复 印 机 、 传 真 机 。 

(2) 相关 风险 点 

存储 设备 管理 风险 点 见 表 A-19。 


表 A-19 


的 二 
光盘 刻录 机 随意 使 用 原生 风险 隐患 
时 刻 


2 光盘 刻录 不 记录 次 生 风 险 风险 
3 软盘 随意 使 用 原生 风险 隐患 


软盘 使 用 刻录 不 记录 次 生 风 险 风险 


移动 存储 卡 使 用 不 记录 次 生 风 险 风险 


PY 


?Kn 
贡 玖 
[ew 


外 联 设备 管理 风险 点 见 表 A-20。 
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表 A-20 
次 生 风 险 。 | 风险 
便携 式 WIFI 和 无 线 网 卡 随意 使 用 原生 风 民 隐患 
| 6 | 便 揽 式 WIFI 和 无 线 网 卡 使 用 不 记录 次 生 风 民 风险 


打印 设备 管理 风险 点 见 表 A-21。 


表 A-21 


可 


记录 


苗 仪 随意 使 月 
设备 扫描 仪 使 用 不 i 
复印 机 随意 使 有 
复印 机 使 用 


传真 机 随意 使 有 原 


传真 机 使 用 不 i 


LU 


E 寻 
六 


Eb 


济 


入 Ei 


Ei 
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(a) 基于 资产 使 用 生命 周期 分 析 

G@) 存储 设备 基于 资产 使 用 生命 周期 分 析 

该 类 风险 涉及 生命 周期 阶段 为 入 网 阶段 、 便 用 阶段 、 维 修 阶 段 及 报废 阶段 。 由 于 存 
储 设备 保留 有 相关 信息 ， 因 此 ， 在 各 个 阶段 保留 的 相关 信息 都 存在 自 改 和 泄漏 的 风险 。 
入 网 前 ， 存 储 设备 在 分 配 的 时 候 就 要 根据 领 用 人 的 贡 职 和 权限 指定 分 配 ， 没 有 权限 的 人 
禁止 领 用 可 存储 设备 ， 并 做 到 专 盘 专用 ， 通 过 工具 进行 标签 化 管理 ， 明 确 公示 管理 制度 
和 和 领 用 人 的 责任 ， 不 得 随意 借用 。 运 行 过 程 中 ， 对 于 存储 立 设备 ， 尤 其 是 移动 存储 介质 
如 U 盘 的 使 用 ， 不 仅 做 到 对 USB 接口 的 管控 ， 还 要 对 U 盘 在 网 络 中 的 使 用 严格 监视 
审计 。 ee 也 要 防止 菜 
些 人 利用 这 些 存储 介质 私自 传递 已 经 开启 USB 接口 的 终端 设备 中 的 敏感 信息 。 因 此 要 对 
USB 移动 存储 设备 加 强 审 计 ， 审 计 其 是 否 修改 、 删 除 或 者 传递 过 哪些 文件 夹 或 者 文件 。 
同时 ， 设 备 维修 阶段 为 特殊 阶段 ， 许 多 在 线 监控 措施 和 管理 规定 将 会 失效 ， 因 此 ， 该 类 
设备 在 维修 过 程 中 首先 要 做 脱 敏 检查 ， 即 探 除 存储 设备 中 的 敏感 信息 ， 防 止 维 修 过 程 中 
敏感 信息 的 泄漏 : 其 次 ， 在 设备 报废 阶段 ， 必 须 将 存储 设备 消 磁 ， 使 得 其 中 存储 的 信息 
不 可 能 恢复 。 

) 外 联 设备 基于 资产 使 用 生命 周期 分 析 

该 类 风险 涉及 生命 周期 阶段 为 入 网 阶段 和 使 用 阶段 。 外 联 设备 关系 到 网 络 是 否 真正 隔 
离 ， 是 否 存在 违规 内 联 和 外 联 的 风险 。 因 此 ， 入 网 阶段 ， 对 外 联 设备 就 要 严格 禁止 使 用 ， 明 
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确 公 示 管 理 制度 ， 告 知 随意 通过 外 联 设备 接 入 对 内 外 网 隅 离 是 严重 违背 的 ， 并 且 存 在 严重 安 
全 风险 。 运 行 过 程 中 ， 对 于 外 联 类 设备 ， 尤 其 是 3G 手机 的 使 用 ， 不 仅 做 到 对 外 联 设 备 及 时 
发 现 和 管控 ， 还 要 对 3G 设备 在 网 络 中 的 使 用 严格 监视 、 审 计 。 防 止 这 些 存 储 类 设备 将 外 面 
的 病毒 、 木 马 在 使 用 的 过 程 中 融入 内 网 ， 也 要 防止 茶 些 人 利用 这 些 外 联 设备 将 内 网 的 终端 设 
备 中 的 敏感 信息 外 传 ， 引 发 信息 泄密 风险 。 

Go 打印 设备 基于 资产 使 用 生命 周期 分 析 

该 类 风险 涉及 生命 周期 阶段 为 运行 阶段 。 由 于 打印 设备 涉及 敏感 信息 可 能 被 打印 后 携 币 
出 去 的 风险 。 因 此 ， 需 要 对 打印 设备 严格 管理 。 对 敏感 信息 的 打印 ， 要 指定 打印 机 ， 不 允许 
将 敏感 信息 通过 普通 非 指定 打印 机 打印 ， 对 打印 的 内 容 要 标记 ， 对 打印 出 来 后 的 敏感 信息 要 
管理 ， 临 时 使 用 或 者 弃 用 的 内 容 要 及 时 粉碎 销毁 。 防 止 打 印 设备 没有 管控 以 及 打印 的 纸张 没 
有 管控 造成 敏感 信息 外 泄 的 风险 。 

(b) 相关 信息 风险 分 析 

Ga 在 线 信 息 风 险 

存储 设备 在 线 信息 风险 : 特定 生产 系统 需 对 移动 存储 介质 进行 读 取 和 写 入 ， 因 此 ， 对 于 
该 类 U 盘 应 放 开 使 用 ， 人 否则 会 造成 业务 不 可 用 ， 同 时 ， 又 要 能 识别 和 茶 止 其 他 类 别 的 U 盘 
的 使 用 ， 因 此 需要 对 内 部 使 用 的 U 盘 进 行 标签 化 管理 ， 区 分 U 盘 的 类 别 和 使 用 范围 。 对 于 
数据 需要 在 外 网 使 用 的 情况 ， 可 以 生成 文件 通过 摆渡 机 和 专用 U 盘 复 制 到 外 网 。 因 为 日 第 工 
作 中 需要 经 常 利 用 U 盘 将 内 网 数据 发 布 到 外 网 ， 如 采 不 严格 管理 ， 业 务 数 据 被 锣 取 、 自 改 ， 
造成 的 恶劣 社会 影响 ， 外 网 感染 的 病毒 、 木 马 也 会 随 着 U 盘 的 无 序 使 用 而 进入 内 网 ， 造 成 对 
内 网 业务 系统 的 威胁 ， 风 险 非 常 高 。 而 该 类 风险 如 果 发 生 在 公文 处 理 系统 、 单 位 财务 处 理 系 
统 ， 以 上 业务 受到 影响 可 能 局 部 范围 可 控 ， 不 会 造成 重大 社会 和 经 济 损失 ， 只 对 内 部 工作 造 
影响 ， 因 此 风险 为 中 。 如 果 该 类 风险 发 生 在 内 网 网 站 、 档 案 管 理 软件 中 ， 由 于 该 类 信息 资 
产 是 业务 运转 不 依赖 或 较 少 依赖 的 ， 脱 离 该 信息 资产 完全 可 以 生产 或 开展 业务 活动 ， 以 上 业 
务 对 实时 性 要 求 不 局 ， 一 般 不 会 对 企业 和 社会 造成 影响 ， 风 险 较 低 。 

外 联 设备 在 线 信息 风险 : 外 联 设备 使 用 ， 和 内 外 网 隔离 的 策略 是 严重 违背 的 ， 是 被 严格 
禁止 的 。 该 类 风险 不 仪 存在 信息 外 泄 和 扩散 的 风险 ， 同 时 也 存在 其 他 所 有 可 能 的 安全 风险 和 隐 
患 。 对 整个 网 络 和 业务 都 是 极端 危险 的 行为 。 目 前 3G 手机 非常 流行 ， 而 终端 设备 也 具备 蓝 
牙 、 红 外 、 无 线 网 卡 等 接口 ， 任 何 拥有 3G 手机 的 员工 ， 都 可 以 通过 3G 手机 利用 手机 赣 牙 和 
终端 设备 的 蓝牙 链接 ， 使 得 原本 不 能 上 外 网 的 终端 通过 3G 手机 获得 访问 外 网 的 途径 。 同 样 ， 
利用 手机 WIFI， 或 者 手机 数据 线 ， 一 旦 手机 和 终端 有 了 连接 通道 ， 就 可 以 搭建 手机 访问 外 部 
网 络 的 通道 ， 而 一 旦 外 联通 道 打 通 ， 内 联 也 就 随时 可 能 发 生 了 ， 整 体 网 络 的 信息 安全 也 就 得 不 
到 保证 。 

打印 设备 在 线 信息 风险 : 打印 设备 使 用 ， 和 整个 业务 系统 都 相关 ， 根 据 业务 的 重要 
性 要 严格 管理 打印 设备 的 使 用 。 对 于 重要 的 生产 系统 来 说， 如果 不 严格 管理 外 设 ， 在 日 
常 工作 中 和 需要 打印 过 程 中 ， 很 容易 将 客户 的 个 人 信息 和 业务 敏感 信息 打印 出 来 ， 如 宁 
不 对 打印 出 来 的 信息 加 以 管控 ， 就 容易 导致 纸张 信息 和 数据 被 带 出 而 造成 信息 外 泄 ， 给 
客户 和 企业 的 形象 造成 恶劣 影响 ， 风 险 较 高 。 因 此 对 于 敏感 信息 打印 需要 指定 打印 机 和 
终端 。 而 对 于 不 重要 的 或 者 不 涉及 敏感 信息 的 系统 ， 其 影响 相对 较 低 。 不 需要 指定 卫 和 
打印 设备 。 而 对 于 打印 出 来 的 包含 敏感 信息 的 纸张 ， 对 数量 和 内 容 都 要 管理 ， 废 弃 时 必 
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须 彻底 粉碎 ， 对 该 信息 的 复印 也 要 经 过 批准 ， 严 禁 未 经 批准 私自 复印 敏感 文件 ， 防 止 信 
息 外 泄 。 

@@ 存储 信息 风险 : 

存储 设备 存储 信息 风险 ， 存 储 在 终端 设备 中 的 信息 可 能 通过 存储 设备 泄漏 出 去 。 

外 联 设备 存储 信息 风险 ， 存 储 在 终端 设备 中 的 信息 可 能 通过 外 联 设备 泄漏 出 去 。 

打印 设备 存储 信息 风险 ;存储 的 信息 可 能 通过 打印 机 或 者 图 形 仪 打印 而 被 携带 出 去 ， 千 
成 信息 外 港 。 

(Cc) 基于 资产 使 用 人 员 风 险 分 析 

@ 存储 设备 基于 资产 使 用 人 员 风 险 分 析 

内 部 人 员 : 如 果 高 级 管理 岗位 (如 高 层 领导 )， 其 存储 设备 丢失 ， 由 于 其 存储 外 设 中 极 
有 可 能 含有 企业 核心 信息 和 涉 密 信息 以 及 个 人 的 敏感 文档 ， 可 能 造成 的 社会 影响 非常 大 ， 风 
险 非常 高 。 而 该 类 风险 发 生 在 部 门 主管 、 网 络 管理 员 、 配 置 管理 员 、 系 统管 理 员 、 财 务 部 人 
员 等 关键 岗位 业务 人 员 ， 则 由 于 像 网 络 管理 人 员 存储 介质 往往 中 含有 网 络 拓扑 、 配 置 策略 、 
运行 业务 数据 等 ， 由 于 该 类 数据 一 般 包 含 敏感 信息 ， 随 意 传递 、 刻 录 极 易 造成 信息 外 泄 ， 风 
险 较 高 。 而 如 果 光 盘 刻 录 ， 存 储 设备 随意 使 用 风险 发 生 在 生产 人 员 、 办 公 人 员 等 ， 则 可 能 将 
程序 带 出 ， 造 成 知识 产权 的 泄漏 ， 由 于 该 类 终端 支持 业务 和 对 正常 运营 起 保障 作用 ， 相 当 重 
要 ， 风 险 为 中 ， 

临时 人 员 ， 如果 该 类 风险 发 生 在 临时 人 员 岗 位 (如 食堂 、 车 队 、 绿 化 等 人 员 )， 则 该 类 
终端 一 般 不 涉及 业务 、 不 包含 敏感 信息 ， 风 险 为 低 ， 

外 部 人 员 : 如果 该 类 风险 发 生 在 外 部 人 员 身上 ， 可 能 造成 信息 外 泄 的 风险 ， 因 此 应 严格 
控制 外 来 人 员 存储 设备 的 使 用 。 外 来 人 员 要 求 任何 操作 外 设 的 动作 必须 经 过 审批 ， 降 低 可 能 
导致 信息 外 泄 的 风险 ， 

@@ 外 联 设备 人 员 风 险 

内 部 人 员 : 对 于 高 级 管理 岗位 (如 高 层 领导 )， 使 用 3G 手机 开通 网 络 功能 ， 由 于 目前 
3G 手机 安全 防护 能 力 薄 弱 ， 手 机 病毒 木马 犯罪 呈现 上 升 趋势 。 手 机 一旦 中 了 木马 ， 就 可 能 
成 为 外 部 控制 的 监视 设备 ， 随 时 可 能 被 黑客 利用 ， 手 机 和 终端 设备 也 会 自动 搜索 蓝牙 和 
WIFI 智能 设备 ， 这 样 很 有 可 能 被 别人 利用 ， 而 一 旦 被 利用 ， 则 由 于 其 终端 含有 涉及 企业 核 
心 信息 和 涉 密 信息 ， 风 险 非常 高 。 该 类 风险 发 生 在 部 门 主管 、 网 络 管理 员 、 配 置 管理 员 、 系 
统管 理 员 、 财 务 部 人 员 等 关键 岗位 业务 人 员 ， 则 由 于 该 类 终端 对 业务 支撑 非常 关键 ， 终 端 中 
一 般 有 网 络 拓扑 、 配 置 策 略 信息 等 ， 且 一 般 包含 关键 业务 信息 ， 风 险 较 高 。 如 果 该 类 风险 发 
生 在 生产 人 员 、 办 公 人 员 等 ， 则 由 于 该 类 终端 支持 业务 和 对 正常 运营 起 保障 作用 ， 相 当 重 
要 ， 风 险 为 中 

临时 人 员 ， 如果 该 类 风险 发 生 在 临时 人 员 岗 位 (如 食堂 、 车 队 、 绿 化 等 人 员 )， 则 该 类 
终端 一 般 不 涉及 业务 、 不 包含 敏感 信息 ， 风 险 为 低 ， 

外 部 人 员 ， 如果 该 类 风险 发 生 在 外 部 人 员 身上 ， 可 能 造成 信息 外 泄 的 风险 ， 因 此 应 严格 
控制 外 来 人 员外 联 设备 的 使 用 。 外 来 人 员 要 求 任何 操作 外 设 的 动作 必须 经 过 审批 ， 降 低 可 能 
导致 信息 外 泄 的 风险 ， 

@ 打印 设备 人 员 风 险 

内 部 人 员 该 类 风险 发 生 在 高 级 管理 岗位 〈 如 高 层 领导 )， 则 由 于 其 终端 含有 企业 核心 
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信息 和 涉 密 信息 ， 风 险 非 常 高 。 该 类 风险 发 生 在 部 门 主管 、 网 络 管理 员 、 配 置 管理 员 、 系 统 
管理 员 、 财 务 部 人 员 等 关键 岗位 业务 人 员 ， 则 由 于 该 类 终端 对 业务 文 撑 非 常 天 键 ， 且 一 般 包 
含 关 键 业务 信息 ， 风 险 较 高 。 如 采 该 类 风险 发 生 在 生产 人 员 、 办 公 人 员 等 ， 则 由 于 该 类 终端 
文 持 业务 和 对 正常 运营 起 保障 作用 ， 相 当 重 要 ， 风 险 为 中 。 

临时 人 员 : 如 果 该 类 风险 发 生 在 临时 人 员 岗 位 ， 如 食 符 、 车 队 、 绿 化 等 人 员 ， 则 该 类 终 
端 一 般 不 涉及 业务 、 不 包含 敏感 信息 ， 风 险 为 低 。 

外 部 人 员 : 如 果 该 类 风险 及 生 在 外 部 人 员 映 上 ， 可 能 造成 信息 外 洪 的 风险 ， 因 此 应 严格 
控制 外 来 人 员 打 印 设备 的 使 用 。 外 来 人 员 要 求 任 何 操 作 外 设 的 动作 必须 经 过 审批 ， 降 低 可 能 
导致 信息 外 泄 的 风险 。 

(d) 合 规 性 要 求 

合 规 性 要 求 见 表 A-22。 


表 A-22 


序 号 采 护 《三 级 ) 要 求 


7.2.5.4 设备 管理 (G3) 
c) 应 建立 配套 设施 、 软 硬件 维护 方面 的 管理 制度 ， 对 其 维护 进 


行 有 效 的 管理 ， 包 括 明 确 维护 人 员 的 责任 、 涉 外 维修 和 服务 的 
1 系统 运 维 管理 审批 、 维 修 过 程 的 监督 控制 等 

d) 应 对 终 疹 计算机、 工作 站 、 便 携 机 、 系 统 和 网 络 等 设备 的 操 

作 和 使 用 进行 规范 化 管理 ， 按 操作 规程 实现 主要 设备 〈 包 括 备 

份 和 元 余 设 备 ) 的 启动 /停止 、 加 电 / 断 电 等 操作 


2， 风 险 管控 

(1) 存储 设备 风险 管控 

事前 处 置 : 常规 情况 下 ， 建 议 对 移动 存储 外 设 采取 指定 品牌 和 型 号 ， 统 一 采购 和 标签 化 
管理 的 方式 。 指 定 的 设备 只 能 使 用 指定 的 存储 设备 ， 非 指定 的 移动 存储 外 设 不 允许 在 内 网 使 
用 。 必 须 建立 外 设 的 采购 和 领 用 审批 流程 存 ， 对 外 设 使 用 进行 严格 规定 ， 对 敏感 信息 和 设 
备 ， 在 存储 和 传递 过 程 中 ， 必 须 加 密 数 据 用 于 指定 的 专用 设备 ， 并 且 只 有 授权 和 审批 的 设备 
和 人 才 有 权限 登录 ， 复 制 下 载 信息 。 未 经 审批 的 存储 设备 不 允许 接 入 网 络 ， 即 使 接 入 也 无 法 
使 用 。 

事 中 处 置 : 根据 存储 设备 使 用 规定 下 发 主机 外 设 控 制 策略 ， 实 施 控制 措施 ， 并 对 存储 类 
外 设 监控 。 当 存储 类 外 设 接 入 时 ， 首 先 检测 是 否 为 符合 策略 中 规定 的 指定 存储 类 外 设 ， 如 果 
不 属于 指定 存储 类 外 设 ， 应 向 管理 中 心 及 时 报警 ， 不 允许 其 使 用 ， 并 记录 发 生 时 间 ， 进 行 系 
统 日 志 信息 的 安全 存储 。 对 于 符合 策略 要 求 ， 属 于 指定 应 用 类 的 外 设 ， 则 人 允许 其 使 用 ， 但 是 
记录 其 读 、 写 、 删 除 操作 信息 ， 如 果 数 据 存 储 过 程 中 有 越权 操作 或 者 下 载 了 非 授权 敏感 信 
号 ， 则 应 将 日 志 安 全 存储 到 管理 平台 ， 并 提示 管理 中 心 。 如 果 存 储 类 外 设 使 用 过 程 中 出 现 问 
题 〈 如 损毁 等 )， 则 走 相 应 的 维护 流程 。 

事后 处 置 : 对 于 违规 读 写 数据 行为 ， 进 行 后 续 安 全 审计 和 操作 追踪 ， 并 进行 违规 
分 析 ， 如 果 确 实 属 于 越权 行为 ， 则 采取 一 定 的 惩罚 措施 ， 如 果 属 于 误 报 ， 则 进行 策略 
调整 。 

管控 流程 如 图 A-16 所 示 。 


157 


RS 终端 安全 风险 管理 
外 设 设备 一 存储 设备 管理 控制 流程 
终端 使 用 人 


《移动 存储 类 外 设 
色 管理 制度 》 
移动 存储 类 外 设 


相关 制度 、 流 程 未 批准 


《移动 外 设 
资产 表单 》 


非 指定 介质 禁止 
使 用 ， 记 录 发 生 
时 间 ， 并 告警 


允许 使 用 并 记录 其 读 写 


ya 
删除 记录 维护 流程 


对 违规 读 写 数据 
审计 其 权限 追究 问 责 


图 A-16 

(2) 外 联 设 备 风险 管控 

事前 处 置 : 外 联 类 设备 主要 有 小 巧 、 使 用 普 遇 、 不 易 察 觉 的 特点 。 比 如 3G 手机， 应 用 
非常 普 迄 ， 几 乎 人 手 一 个 ， 接 入 信息 外 网 的 途径 很 多 ， 可 以 通过 监 牙 和 电脑 对 接 ， 可 以 通过 
手机 PC 套件 和 电脑 连接 ， 也 可 以 通过 WIFI 和 电脑 连接 ， 管 理 难 度 较 大 。 因 此 终端 在 入 网 
时 必须 严格 执行 端口 管理 规定 ， 严 格 管理 蓝牙 、 红 外 、WIFI、USB 模块 ， 对 这 一 类 设备 端 
口 下 发 策略 默认 关闭 ， 如 果 需 要 打开 必须 经 过 严格 审批 。 对 违反 规定 擅自 使 用 3G 手机 和 电 
脑 连接 的 责任 人 一 律 严肃 处 理 。 

事 中 处 置 : 根据 安全 需要 ， 下 发 主机 控制 策略 ， 实 施 网 络 链接 控制 措施 ， 监 控 外 联 类 外 
设 ， 尤 其 是 3G 手机 。 首 先 禁止 不 必要 的 端口 〈 如 蓝牙 、 红 外 端口 )， 尽 量 切断 其 接 入 途径 。 
其 次 禁止 安装 手机 PC 套件 和 相关 驱动 ， 通 过 软件 检查 ， 发 现 违规 安装 PC 套件 的 则 禁止 使 
用 并 告警 。 最 后 ， 主 动 探测 接 入 网 络 设备 和 网 卡 、Modem， 判 断 是 否 为 手机 类 设备 ， 如 果 
是 ， 则 切断 并 记录 接 入 时 间 并 告警 。 

事后 处 置 : 对 于 违规 使 用 3G 手机 和 终端 联网 行为 ， 一 经 发 现 则 需 严 格 处 理 ， 必 须 建立 
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后 续 安 全 审计 和 操作 追踪 ， 碍 看 是 否 有 信息 外 泄 等 违规 分 析 ， 严 重 违 规 的 则 必须 退 完 其 责 
任 ， 形 成 高 压 线 ， 不 得 触犯 。 
管控 流程 见 图 A-17。 


外 设 设 备 - 外 联 设 备 管 理 控 制 流程 


终端 使 用 者 相关 领导 
人 > (3G 手机 管理 制度 


外 联 类 外 设 相关 外 联 类 外 设 《3G 手机 管 非法 联网 
管理 制度 、 流 程 管理 策略 的 处 罚 规定 》 等 


《审核 通过 的 移动 
互联 设备 登记 表 》 


3G 手机 等 外 联接 
入 安全 意识 培训 


特殊 需要 开通 外 设 互 联 
的 走 审批 流程 


默认 关闭 非 必须 
端口 ， 禁 | 下 发 策略 关闭 蓝牙 等 
手机 PC 套件 切断 3G 手机 接 入 途径 


主动 探测 网 络 发 现 手机 接 入 
接 入 方式 


对 违规 外 联 事件 审计 


追究 问 责 


图 A-17 


(3) 打印 设备 风险 管控 

事前 处 置 : 打印 类 设备 在 办 公 中 普遍 使用， 如 果 涉 及 敏感 信息 文件 的 打印 和 传递 就 必须 
指定 打印 设备 ， 对 打印 文档 的 数量 、 纸 张 也 要 严格 管控 。 所 以 需要 建 并 相应 的 敏感 信息 打印 
设备 管理 规定 。 对 于 敏感 信息 的 打印 要 指定 打印 区 域 ， 指 定 打印 设备 ， 并 且 要 限定 规定 地 址 
的 终端 设备 才能 访问 该 打印 机 。 打 印 出 来 的 文档 要 建立 严格 的 处 置 保管 制度 。 

事 中 处 置 : 根据 安全 需要 ， 下 发 主机 访问 控制 策略 ， 未 授权 的 终端 不 能 访问 指定 的 打印 
设备 。 对 任何 企图 答 试 连接 指定 打印 机 的 终端 应 记录 其 和 葵 试 次 数 ， 超 出 规定 的 ， 回 管理 平台 
告警 ， 并 记录 日 志 。 

事后 处 置 : 对 于 打印 出 来 的 含有 敏感 信息 的 文档 要 登记 ， 记 录 打 印 人 。 文 档 借 出 时 要 登 
记 借阅 人 ， 最 终 销 毁 要 记录 销毁 时 间 、 销 毁 人 。 
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对 于 授权 使 用 外 设 人 员 自身 违规 ， 擅 自 将 移动 存储 设备 带 走 ， 或 者 将 保存 有 敏感 信息 的 
外 设 和 打印 的 纸张 、 图 片 带 出 单位 等 情况 ， 终 端 无 法 发 现 。 敏 感 信息 接触 者 通过 非 技术 类 手 
段 的 泄漏 如 拍照 、 摘 抄 、 电 话 泄漏 等 )， 都 无 法 通过 技术 手段 做 到 监控 。 

对 策 . 

1) 长 期 的 安全 意识 培训 。 

2) 适当 的 人 员 监 督 机 制 ， 

3) 严厉 的 惩罚 措施 . 

4) 保留 事件 调查 、 起 诉 的 权利 ， 

5) 加 强 审计 追踪 。 

管控 流程 见 图 A-18。 


外 设 设 备 一 打印 设备 管理 控制 流程 


终端 使 用 者 终端 安全 管理 员 相关 领导 
] Ca 
打印 类 外 设 相关 | a 《打印 设备 管理 制度 》 


管理 制度 、 流 程 管理 策略 《打印 敏感 文档 保存 、 
借阅 、 销 毁 规 定 》 等 


定期 打印 安全 


意识 培训 
申请 不 合格 人 
不 合格 
合 
打印 资产 格 


申请 


指定 打印 机 IP 与 下 发 策略 “| 限制 打印 机 IP 与 有 
对 应 主机 JP 权限 主机 使 用 IP 
i 2 记录 尝试 非法 登录 JP 
合法 使 用 与 下 时 间 ， 举 试 成 功 次 数 


文档 保管 、 使 用 、 
销 筑 流程 


图 A-18 
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3. 风险 控制 效果 

通过 对 外 设 设备 使 用 控制 流程 ， 能 够 对 外 设 设备 的 使 用 和 审批 全 程 进行 监控 ， 对 常用 的 
存储 类 外 设 设备 如 U 盘 、 移 动 存储 等 能 发 现 ， 对 读 写 修改 能 审计 。 对 3G 手机 、 蓝 牙 、WIFI 
接 入 能 发 现 非法 外 联 ， 能 审计 其 外 联网 络 。 建 立 对 本 地 打印 机 、 数 码 图 形 仪 、 复 印 机 等 设备 
的 指定 管理 和 敏感 文件 打印 的 监控 。 

所 有 这 些 控制 ， 都 必须 建立 一 套 完 整 的 外 设 管理 审批 流程 和 终端 防 护 发 现 机 制 。 只 有 实 
现 制 度 和 技术 的 结合 ， 才 能 有 效 管控 外 设 设备 的 使 用 。 


A.3.3 终端 注册 表 风 险 (9 个 风险 点 ) 


1， 风险 分 析 

(1) 风险 描述 

注册 表 是 为 Windows 操作 系统 中 所 有 人 硬件/ 驱动 和 应 用 程序 设计 的 数据 文件 。 在 没有 注 
册 表 的 情况 下 ， 操 作 系 统 不 会 获得 必需 的 信息 来 运行 和 控制 附属 的 设备 和 应 用 程序 及 正确 啊 
应 用 户 的 输入 。 当 操作 系统 需要 存 取 便 件 设备 ， 就 会 使 用 驱动 程序 ， 驱 动 程序 是 独立 于 操作 
系统 的 ， 但 是 操作 系统 需要 知道 从 哪里 找到 它们 ， 包 括 其 文件 名 、 版 本 号 、 其 他 设置 和 信 
上 县， 没有 注册 表 对 设备 的 记录 ， 它 们 就 不 能 被 使 用 。 当 一 个 用 户 准备 运行 一 个 应 用 程序 ， 注 
册 表 提供 应 用 程序 信息 给 操作 系统 ， 这 样 应 用 程序 可 以 被 找到 ， 正 确 数据 文件 的 位 置 被 规 
定 ， 其 他 设置 也 都 可 以 被 使 用 ， 注 册 表 保存 关于 缺 省 数据 和 辅助 文件 的 位 置信 息 、 沫 单 、 投 
钮 条 、 窗 口 状态 和 其 他 可 选项 。 它 同样 也 保存 了 安装 信息 《如 日 期 )、 安 装 软 件 的 用 户 、 软 
件 版 本 号 和 日 期 、 序 列 号 等 。 根 据 安装 软件 的 不 同 ， 它 包括 的 信息 也 不 同 。 一 般 来 说 ， 注 册 
表 控 制 所 有 应 用 程序 和 驱动 ， 控 制 的 方法 是 基于 用 户 和 计算 机 的 ， 而 不 依赖 于 应 用 程序 或 驱 
动 ， 每 个 注册 表 的 参数 项 控制 了 一 个 用 户 的 功能 或 者 计算 机 功能 。 

注册 表 作 为 系统 必 不 可 少 的 组 成 部 分 ， 成 为 黑客 与 安全 专家 们 关注 的 焦点 ， 如 果 不 能 对 
注册 表 进 行 很 好 的 管理 〈 如 访问 、 增 加 、 删 除 、 注 册 表 项 等 操作 )， 终 端的 安全 就 得 不 到 保 
障 ， 黑 客 或 恶意 程序 就 可 以 轻松 地 控制 终端 系统 的 某 些 功能 或 筋 取 或 某 些 信息 。 

从 终端 保护 的 角度 来 看 ， 主 要 的 风险 主要 表现 在 以 下 几 个 方面 : 

1) 监控 缺失 风险 。 由 于 缺少 对 访问 、 增 加 、 删 除 注 册 表 项 等 操作 的 监控 ， 会 导致 关键 
主机 的 保护 失控 的 风险 。 

2) 标准 基线 风险 。 由 于 事先 没有 对 注册 表 项 作出 详细 分 析 ， 根 据 不 同 的 终端 做 出 注册 
表 项 白 名 单 ， 或 没有 及 时 更 新 注册 表 的 监控 白 名 和 单 ， 导 致 不 能 有 效 地 识别 终 病 的 异常 注册 表 
项 ， 造 成 不 能 有 效 监 控 注 册 表 项 的 风险 。 

3) 加 载 注 册 表 项 监控 策略 导致 终端 蓝屏 ， 严 重 影响 业务 ， 造 成 终端 业务 无 法 持续 有 效 
地 运行 的 风险 。 

4) 控制 平台 本 身 风险 。 发 现 了 异常 访问 、 增 加 、 删 除 注 册 表 项 等 操作 ， 但 是 技术 措施 
不 到 位 ， 不 能 及 时 准确 地 处 理 ， 如 采取 告警 、 限 制 连接 等 控制 措施 ， 实 现 有 效 监 控 的 风险 。 

因此 这 类 风险 的 可 知 、 可 控 、 可 管 十 分 重要 。 下 面 对 终 端 注 册 表 风险 进行 详细 的 分 解 。 

(2) 相关 风险 点 

终端 注册 表 风 险 点 见 表 A-23。 
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放 与 某 些 终端 的 注册 3 
税目 或 被 删除 


以 下 将 分 别 从 资产 使 用 生命 周期 、 相 关 信 息 安 全 、 资 产 使 用 人 员 和 合 规 性 4 个 方面 对 以 
上 9 个 风险 点 进行 详细 描述 。 

(a) 基于 资产 使 用 生命 周期 分 析 

资产 使 用 生命 周期 包含 入 网 前 、 运 行 阶段 、 维 修 阶 段 、 报 废 阶段 。 终 站 违规 网 络 访问 风 
险 按 照 资 产 使 用 生命 周期 的 分 析 如 下 : 

风险 点 (1-6): 涉及 入 网 前 、 运 行 阶段 。 由 于 微软 并 没有 完全 公开 关于 注册 表 正 确 设置 的 
文 持 信 息 ， 这 样 使 得 注册 表 看 上 去 更 不 可 琢磨 。 处 理 和 编辑 注册 表 如 同 “ 黑 色 艺 术 ” 一 样 ， 它 
在 系统 中 的 设置 让 用 户 感 党 象 在 黑暗 中 摸索 一 样 找 不 到 感觉 。 这 样 ， 因 为 用 户 对 这 方面 的 缺乏 
了 解 使 得 注册 表 更 多 地 出 现 故障 ， 也 正 因为 如 此 当前 注册 表 成 为 黑客 与 安全 专家 们 关注 的 焦 
把， 如 果 不 能 对 注册 表 进 行 很 好 的 管理 ， 如 访问 、 增 加 、 删 除 、 注 册 表 项 等 操作 ， 就 不 能 使 终 
端 得 到 更 好 的 保障 ， 黑 客 或 恶意 程序 就 可 以 轻松 地 控制 终端 系统 的 傈 些 功 能 或 甸 取 菏 些 信息 ， 
例如 控制 面板 操作 功能 、 桌 面 外 观 和 图 标 、 网 络 配置 参数 、 浏 览 器 功能 和 特征 存 取 控制 、 登 3 
确认 功能 、 文 件 和 打印 机 共享 功能 、 网 卡 设置 和 协议 、 系 统 性 能 和 虚拟 内 存 设 置 等 。 

风险 点 〈7-9): 涉及 入 网 前 、 运 行 阶 段 。 由 于 注册 表 涉 及 各 种 硬件 和 应 用 ， 如 不 能 及 时 
和 全 面 地 对 终端 系统 做 分 析 ， 建 立 系统 关键 项 和 用 户 关 键 项 的 注册 表白 名 单 ， 并 且 该 注册 表 
日 名 蛙 没 有 随 驱 动 升级 和 应 用 改变 而 及 时 更 新 ， 可 能 导致 注册 表 监 控 的 基线 不 准确 ， 控 制 措 
施 难以 实施 ， 甚 至 会 严重 影响 业务 的 顺利 进行 。 

(b) 基于 相关 信息 安全 关系 分 析 

相关 信息 安全 分 为 在 线 信息 风险 和 存储 信息 风险 ， 终 站 注册 表 风 险 按照 相关 信息 安全 关 
系 的 分 析 如 下 : 

风险 点 (1-6): 如 采 缺 失 有 关注 册 表 的 监控 捕 施 ， 一 旦 注册 表 被 恶意 访问 、 增 加 、 删 除 ， 可 
以 导致 终端 系统 所 有 文件 操作 都 受 影 响 ， 势 必 造 成 业务 运行 中 的 在 线 信息 风险 和 存储 信息 风险 。 

风险 点 〈7-9): 如 果 系 统 关 键 项 和 用 户 关 键 项 的 注册 表白 名 单 不 能 及 时 升级 ， 一 旦 造成 
无 法 检测 遗漏 注 册 表 的 恶意 操作 ， 也 会 造成 业务 运行 中 的 在 线 信息 风 险 和 存储 信息 风险 。 

(6) 基于 资产 使 用 人 分析 

终端 使 用 人 包括 内 部 人 员 、 临 时 人 员 和 外 部 人 员 3 大 类 ， 而 内 部 人 员 可 以 再 细 分 为 高 级 
管理 者 、 关 键 业 务 人 员 和 网 络 管理 人 3 种 角色 ， 临 时 人 员 主 要 是 辅助 人 员 岗 位 ， 如 食堂 、 车 
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队 、 绿 化 等 人 员 ， 而 外 部 人 员 包 括 外 来 广 商 运 维 人 员 和 系统 内 外 来 人 员 。 终 端的 使 用 者 因为 
不 同 的 角色 和 不 同 的 操作 意图 ， 一 个 相同 的 风险 点 对 应 不 同 映 份 的 终端 使 用 人 风险 级 别 也 不 
同 。 以 下 将 终端 注册 表 风 险 按照 终端 使 用 人 角色 分 析 如 下 : 

风险 点 (1-6): 该 类 风险 与 内 部 人 员 的 角色 级 别 有 关 。 

1) 高 级 管理 岗位 ， 如 区 域 负责 人 等 高 层 领导 ， 风 险 很 大 。 

2) 地 市 部 门 主管 、 网 络 管理 员 、 配 置 管理 员 、 系 统管 理 员 、 财 务 部 人 员 等 关键 岗 位 业 
务 人 员 ， 风 险 较 大 。 

3) 网 络 管理 员 ， 风 险 较 大 。 

对 于 临时 人 员 和 外 来 人 员 ， 如 果 目 市 终端 的 话 ， 风 险 极 大 。 

风险 点 〈7-9): 该 风险 对 于 高 级 管理 岗位 ， 如 区 域 负责 人 等 高 层 领导 的 终端 的 正常 使 用 威 
胁 极 大 ， 对 于 网 络 管理 员 、 配 置 管理 员 、 系 统管 理 员 、 财 务 部 人 员 等 关键 岗位 业务 人 员 的 终端 
的 使 用 威胁 较 大 ;而 对 于 临时 人 员 和 外 部 人 员 ， 因 无 法 事先 作出 注册 表 基 线 ， 风 险 较 大 。 

(d) 合 规 性 要 求 

合 规 性 要 求 见 表 A-24。 


人 等 级 保护 〈 三 级 ) 要求 竺 从 各 让 


1 等 级 保护 要 求 中 没有 大 要 3 


2， 风险 管控 

每 类 风险 在 管控 过 程 中 ， 针 对 风险 的 事前 、 事 中 和 事后 3 种 状态 进行 监控 ， 做 到 事前 预 
防 、 事 中 控制 、 事 后 审计 追查 。 下 面 的 风险 管控 处 理 流 程 ， 尽 量 从 事前 、 事 中 和 事后 3 方面 
对 风险 管控 进行 描述 。 

(1) 风险 点 〈1-6): 终端 系统 注册 表 监 控 缺 失 和 基线 风险 

事前 处 置 : 在 安全 系统 被 安装 前 ， 提 前 备份 注册 表 内 容 ， 并 且 对 系统 注册 表 关 键 项 和 用 
户 关 注 的 注册 表 项 进行 跟踪 ， 将 相关 的 获取 到 的 信息 进行 基本 的 安全 分 析 ， 主 要 是 对 需要 关 
注 的 注册 表 数 据 的 正确 性 、 安 全 性 、 完 整 性 进行 基本 的 分 析 ， 由 此 确定 要 被 关注 的 数据 是 不 
是 正常 的 或 安全 的 数据 。 分 两 种 情况 处 理 : 安全 数据 一 一 对 于 此 种 数据 将 进行 管理 ， 统 一 制 
作 系 统 安 全 基线 ， 用 于 规范 全 网 终端 系统 的 安全 :; 

风险 数据 一 一 对 于 存在 风险 的 数据 ， 将 其 作为 系统 安全 相关 的 事件 上 报到 服务 器 进行 记 
录 ， 并 将 此 信息 告知 相关 的 系统 管理 人 员 ， 同 时 提醒 终端 使 用 者 当前 存在 的 信息 ， 要 求 用 户 
对 系统 进行 彻底 的 安全 检查 ， 特 别 是 注册 表 的 内 容 。 通 过 以 上 两 种 处 理 方式 ， 保 证 了 系统 中 
安全 的 注册 表 数 据 作 为 系统 的 安全 恢复 依据 ， 同 时 也 能 在 注册 表 中 存在 风险 时 保证 了 事件 的 
记录 行为 ， 并 癌 用 户 提 示 了 系统 当前 的 基本 安全 情况 。 

事 中 处 置 : 在 安全 管理 系统 被 正确 安装 后 ， 在 系统 运行 期 间 通 过 应 用 层 与 内 核 层 两 层 体 
系 结构 ， 对 注册 表 进 行 全 面 的 保护 ， 任 何 恶 意 算 改 或 未 经 许可 的 访问 动作 都 将 被 禁止 并 通过 
报警 的 方式 上 报 至 服务 器 ， 由 此 不 仅 可 以 对 注册 表 数 据 做 到 有 效 的 保护 还 可 以 将 存在 的 风险 
及 时 上 报到 相关 的 管理 人 员 ， 相 关 的 管理 人 员 可 能 通过 报警 的 信息 及 时 发 现 风险 、 追 查 风险 
的 来 源 ， 最 终 将 其 修复 。 


163 


RS 终端 安全 风险 管理 

事后 处 置 ， 对 于 个 别 情况 下 所 出 现 的 未 能 及 时 禁止 或 处 理 的 操作 ， 由 此 引发 的 注册 表 数 
据 被 算 改 行为 ， 可 以 通过 事前 对 于 安全 的 数据 所 做 的 备份 进行 恢复 ， 基 本 可 以 保证 注册 表 数 
据 的 正常 与 完整 ， 而 对 于 未 经 许可 的 读 取 数据 ， 则 要 求 通过 对 于 网 络 数据 包 审计 (网 络 访问 
读 取 ) 或 内 核 驱 动 (本 地 访问 读 取 ) 来 进行 控制 ， 最 终 达到 保护 数据 的 安全 ， 

控制 流程 见 图 A-19。 

终端 系统 注册 表 监 控 缺 失 和 基线 风险 


管理 制度 》 
系统 关键 项 和 用 定 注 册 pe 


注册 表 备份 名 音信 略 管理 制度 》 


制定 完善 《主机 安全 
管理 制度 》 


人 
a 
Ks 
演 
居 
V 


终端 主机 注册 
表 记 录 


< 事 中 阶段 > 


[EE 


< 事后 阶段 > 


图 A-19 
(2) 风险 点 (7-9): 终端 系统 注册 表 技 术 控 制 风险 
事前 处 置 : 需要 不 断 完 善 “ 从 终端 上 得 到 反馈 ”的 技术 机 制 ， 测 试验 证 该 机 制 可 以 实 
现 ， 需 要 制定 有 关 的 应 急 啊 应 预案 ， 一 旦 出 现 策略 与 业务 发 生 冲 突 时 ， 需 要 局 动 ; 另外 ， 如 
果 有 关 策 略 一 旦 被 停止 和 被 删除 不 能 及 时 更 新 而 技术 手段 无 法 实现 时 需要 局 动 。 
事 中 处 置 : 通过 分 析 实 时 的 通信 上 日志， 及 时 了 解 注册 表白 名 单 策 略 与 某 些 业 务 是 否 剖 
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突 ， 注 册 表 白 名 单 策略 停止 和 被 删除 ， 或 者 注册 表白 名 单 策 略 已 经 得 到 更 新 ， 如 采 在 规定 的 
时 间 内 得 不 到 反馈 信息 ， 需 要 启动 应 急 预 案 ; 一 旦 出 现 策 略 与 业务 的 兼容 性 问题 ， 需 要 有 逃 
生机 制 ， 即 通过 人 工 凶 载 集 略 ， 确 保 业 务 的 顺利 进行 。 

事后 处 置 : 一 旦 前 面 的 技术 手段 都 失效 ， 需 要 在 安全 主管 的 认可 下 局 动 应 急 预 案 。 首 先 
在 确保 业务 顺利 进行 的 前 担 下 ， 人 工 在 本 地 更 新 或 释 载 策略 。 在 此 基础 上 再 考虑 其 他 问题 ， 
如 策略 不 能 更 新 的 故障 原因 、 涉 及 的 部 门 和 人 员 ， 造 成 问题 的 是 平台 本 里 的 性 能 原因 ， 还 是 
其 他 问题 ， 这 些 问题 是 否 在 管理 制度 中 作出 了 相关 规定 ， 和 是 人 否 需要 完善 或 补充 等 。 

控制 流程 见 图 A-20。 


端 系统 注册 表 技 术 控制 风险 
i 系统 管理 册 平 吾 京 移师 
稚 澳 使 用 者 (测试 人 员 )) ( 安全 管理 员 ) 


< 事前 阶段 > 


终端 访问 
日 志 


< 事 中 阶段 > 


人 工 处 理 并 完善 
相关 制度 和 预案 


< 事后 阶段 > 


< 


3. 风险 控制 效果 
根据 之 前 在 风险 管理 部 分 的 描述 ， 通 过 对 注册 表 分 别 在 应 用 层 与 内 核 层 两 层 监视 与 控制 
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体系 结构 ， 基 本 上 可 做 到 大 部 分 的 注册 表 非 法 算 改 或 读 取 行为 在 开始 修改 注册 表 之 前 就 被 禁 
小， 如 果 有 少数 操作 在 算 改 数据 之 前 没有 被 禁止 ， 也 可 以 通过 恢复 机 制 在 最 短 的 时 间 内 将 被 
修改 的 数据 恢复 ， 最 终 达 到 注册 表 中 数据 与 信息 的 安全 与 保密 。 


A.3.4 终端 系统 驱动 风 丛 (16 个 风险 点 ) 


1， 风 险 分 析 

(1) 风险 描述 

驱动 程序 是 添加 到 操作 系统 中 的 一 小 块 代 码 ， 其 中 包含 有 关 硬 件 设备 的 信息 。 有 了 此 信 
上 息 ， 计 算 机 就 可 以 与 设备 进行 通信 。 驱 动 程序 是 硬件 三 简 根 据 操作 系统 编写 的 配置 文件 ， 可 
以 说 没有 驱动 程序 ， 计 算 机 中 的 硬件 就 无 法 工作 。 操 作 系 统 不 同 ， 硬 件 的 驱动 程序 也 不 同 ， 
凡是 安装 一 个 原本 不 属于 电脑 中 的 硬件 设备 时 ， 系 统 就 会 要 求 安 装 驱 动 程序 ， 将 新 的 硬件 与 
电脑 系统 连接 起 来 。 驱 动 程序 扮演 沟通 的 角色 ， 把 硬件 的 功能 告诉 电脑 系统 ， 并 且 也 将 系统 
的 指令 传达 给 硬件 ， 让 它 开始 工作 。 在 Windows 系统 中 ， 需 要 安装 主板 、 光 驱 、 显 卡 、 声 
卡 ， 文 件 系统 、 网 络 通信 等 一 套 完 整 的 驱动 程序 。 如 果 需 要 外 接 别 的 硬件 设备 ， 则 还 要 安装 
相应 的 驱动 程序 ， 驱 动 程序 按 系 统 中 工作 的 层次 来 分 ， 有 用 户 态 驱动 程序 、 核 心态 驱动 程 
序 ， 中 间 层 驱动 程序 、 硬 件 总 线 驱动 等 。 

从 以 上 的 摘 述 中 可 以 看 到 驱动 程序 的 种 类 非常 多 ， 且 对 于 终端 机 器 的 控制 能 力也 比 应 用 
层 程 序 更 强 ， 再 基于 其 加 载 于 系统 的 内 核 地 址 空间 中 ， 没 有 任何 界面 ， 更 增加 了 了 驱动 恶意 程 
序 的 隐蔽 性 ， 目 前 流行 的 黑客 软件 或 病毒 程序 大 部 分 都 是 利用 驱动 的 强 控制 能 力 与 隐蔽 性 等 
应 用 层 程序 所 不 有 具备 的 特性 进行 攻击 或 窃取 保密 数据 。 从 终端 保护 的 角度 来 看 ， 主 要 的 风险 
主要 表现 在 以 下 几 个 方面 : 

1) 监控 缺失 风险 。 由 于 缺少 对 终端 驱动 程序 的 监控 ， 这 将 会 导致 关键 主机 的 保护 失控 
的 风险 。 

2) 标准 基线 风险 。 由 于 事先 没有 对 终端 的 驱动 程序 作出 详细 分 析 ， 根 据 不 同 的 品牌 终 
端 做 出 驱动 白 名 单 ， 可 能 会 造成 不 能 有 效 地 识别 终端 的 异常 驱动 程序 ， 造 成 不 能 有 效 监 控 驱 
动 的 风险 。 

3) 加 载 驱动 程序 监控 策略 导致 终端 蓝屏 ， 严 重 影响 业务 ， 造 成 终端 业务 无 法 持续 有 效 
运行 的 风险 。 

4) 控制 平台 本 身 风险 。 发 现 了 异常 驱动 程序 ， 但 是 技术 措施 不 到 位 ， 不 能 及 时 准确 地 
处 理 ， 如 采取 告警 、 限 制 连接 等 控制 措施 ， 实 现 有 效 监 控 的 风险 。 

因此 这 类 风险 的 可 知 、 可 控 、 可 管 十 分 重要 。 下 面 对 终 端 系统 驱动 风险 进行 详细 分 解 。 

(2) 相关 风险 点 

终端 系统 驱动 风险 点 见 表 A-25。 

以 下 将 分 别 从 资产 使 用 生命 周期 、 相 关 信 息 安 全 、 资 产 使 用 人 员 和 合 规 性 4 个 方面 对 以 
上 16 个 风险 点 进行 详细 描述 : 

(a) 基于 资产 使 用 生命 周期 分 析 

资产 使 用 生命 周期 包含 入 网 前 、 运 行 阶段 、 维 修 阶 段 、 报 废 阶段 。 终 端 违 规 网 络 访问 风 
险 按 照 资产 使 用 生命 周期 的 分 析 如 下 : 

风险 点 〈1-7): 涉及 入 网 前 、 运 行 阶段 。 由 于 驱动 程序 的 种 类 繁多 ， 且 对 于 终端 机 器 的 
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控制 能 力也 比 应 用 层 程序 更 强 ， 再 基于 其 加 载 于 系统 的 内 核 地 址 空间 中 ， 没 有 任何 界面 ， 更 
增加 了 驱动 恶意 程序 的 隐蔽 性 ， 目 前 流行 的 黑客 软件 或 病毒 程序 大 部 分 都 是 利用 驱动 的 强 控 
制 能 力 与 隐 珊 性 等 应 用 层 程序 所 不 具备 的 特性 进行 攻击 或 鳃 取保 密 数 据 。 通 过 驱动 可 以 轻松 
完成 以 下 的 工作 ， 如 监控 终端 系统 的 所 有 文件 操作 ; 监控 终端 系统 的 所 有 网 络 数 据 包 发 送 或 
接收 ;监控 终端 系统 的 打印 文档 ， 如 果 将 驱动 与 应 用 层 程序 结合 ， 更 是 可 以 做 到 几乎 任何 任 
务 ， 如 镭 取 用 户口 令 、 卿 取 用 户 隐 私 数据 、 拦 截 系 统 视 窗 的 消 妃 。 


表 A-25 


风险 属性 | 隐 囊 /风险 


没有 监控 终端 系统 的 打印 机 驱动 程序 刀 


没有 监控 终端 系统 的 显卡 /声卡 E 序 驱动 文 伯 
删除 操作 
有 监控 终端 系统 的 网 卡 驱动 程序 驱动 文件 加 载 、 修 改 、 删 除 


没 
操作 
没有 监控 终端 系统 的 总 线 驱 动 程序 驱动 文件 加 载 、 修 改 、 删 除 


操作 

没有 监控 终端 系统 的 硬盘 驱动 器 驱动 程序 驱动 文件 加 载 、 修 
、 删 除 操作 
没有 监控 终端 系统 的 文件 系统 驱动 程序 驱动 文件 加 载 、 修 改 、 
删除 操作 


终端 流量 异 没有 监控 终端 系统 的 扫描 仪 、 数 码 相机 驱动 程序 驱动 文件 加 证 


改 


常 风险 ” 载 、 修 改 、 删 除 操作 

没有 对 终端 系统 的 打印 机 驱动 程序 做 分 析 ， 建 立 白 名 lh 生 风 隐 隐患 
没有 对 终端 系统 的 显卡 /声卡 驱动 程序 做 分 析 ， 建 立 白 名 生 风 民 隐患 
没有 对 终端 系统 的 网 卡 驱动 程序 驱动 程序 做 分 析 ， 建 立 白 名单 | 原生 风险 隐患 
没有 对 终端 系统 的 总 线 驱 动 程序 做 分 析 ， 建 立 白 名 音 二 风 民 隐患 
没有 对 终端 系统 的 硬盘 驱动 程序 做 分 析 ， 建 立 和 i 生 风 区 隐患 
没有 对 终端 系统 的 文件 系统 驱动 程序 做 分 析 ， 建 立 白 名 生 风 了 隐患 
描 仪 、 数 码 相机 驱动 往 序 做 分 析 ， 建 立 自 | 中 AM i 
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下 发 策略 与 某 些 终端 冲突 次 生 风 险 。 ”| 风险 
下 发 策略 被 停止 或 被 出 除 风险 


风险 点 (8-14): 涉及 入 网 前 阶段 。 由 于 终端 涉及 的 品牌 ， 种 类 繁多 ， 操 作 系 统 不 一 ， 
而 驱动 程序 又 涉及 各 种 硬件 和 应 用 ， 不 能 及 时 和 全 面 地 对 终端 系统 的 各 种 驱动 程序 做 分 析 ， 
建 并 日 名 单 ， 一 旦 驱动 升级 和 改变 ， 白 名 单 也 没有 及 时 升级 ， 导 致 驱动 监控 的 基线 不 准确 ， 
控制 措施 难于 实施 。 

风险 点 〈15-16): 涉及 入 网 前 阶段 和 运行 阶段 。 一 旦 下 发 的 驱动 程序 监控 策略 与 终端 发 
生 冲突 ， 或 策略 被 删除 或 强行 停止 ， 均 可 能 导致 终端 不 能 正常 运行 ， 给 业务 连续 性 剖 来 风险 。 

(b) 基于 相关 信息 安全 关系 分 析 

相关 信息 安全 分 为 在 线 信息 风险 和 存储 信息 风险 ， 终 端 流量 寞 党 风险 按照 相关 信息 安全 
关系 的 分 析 如 下 : 

风险 点 《1-7):; 如 果 缺 失 有 关 张 动 程序 的 监控 措施 ， 一 旦 被 驱动 恶意 程序 加 载 ， 可 以 监 
控 终 端 系统 的 所 有 文件 操作 ， 因 此 必 将 造成 业务 运行 中 的 在 线 信息 风险 和 存储 信息 风险 。 

风险 点 (8-14): 如 果 驱 动 程序 白 名 单 不 能 及 时 升级 ， 一 旦 遗漏 驱动 恶意 程序 ， 也 会 造 
成 业务 运行 中 的 在 线 信息 风险 和 存储 信息 风险 。 
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风险 点 (15-16); 该 风险 点 最 大 的 威胁 在 于 可 能 造成 蓝屏 、 外 设 不 能 正常 使 用 ， 导 致 终 
端 不 能 正常 使 用 ， 因 此 必 将 造成 业务 运行 中 的 在 线 信息 风险 和 存储 信息 风险 ， 

Cc) 基于 资产 使 用 人 分 析 

资产 (终端 使 用 人 包括 内 部 人 员 、 临 时 人 员 和 外 部 人 员 三 大 类 ， 而 内 部 人 员 可 以 再 细 
分 为 高 级 管理 者 ， 关 键 业 务 人 员 和 网 络 管理 人 三 种 角色 ， 临 时 人 员 主 要 是 辅助 人 员 岗 位 ， 如 
食堂 、 车 队 、 绿 化 等 人 员 ， 而 外 部 人 员 包 括 外 来 厂商 运 维 人 员 和 系统 内 外 来 人 员 。 终 端的 使 
用 者 因为 不 同 的 角色 和 不 同 的 操作 意图 ，- 一 个 相同 的 风险 点 对 应 不 同 身份 的 终端 使 用 人 风险 
级 别 也 不 同 。 以 下 将 终端 系统 驱动 风险 按照 终端 使 用 人 角色 分 析 如 下 。 

风险 点 (1.7); 该 类 风险 与 内 部 人 员 的 角色 级 别 有 关 。 

1) 高 级 管理 岗位 ， 如 区 域 负责 人 等 高 层 领导 ， 风 险 很 大 。 

2) 地 市 部 门 主管 、 网 络 管理 员 、 配 置 管理 员 、 系 统管 理 员 、 财 务 部 人 员 等 关键 岗位 业 
务 人 员 ， 风 险 较 大 。 

3) 网 络 管理 员 ， 风 险 较 大 。 

对 于 临时 人 员 和 外 来 人 员 ， 如 果 自 带 终 端的 话 ， 风 险 极 大 ， 

风险 点 (8-14)， 该 风险 对 于 高 级 管理 岗位 ， 如 区 域 负责 人 等 高 层 领导 的 终端 的 正常 使 用 
威胁 极 大 ， 对 于 网 络 管理 员 、 配 置 管理 员 、 系 统管 理 员 、 财 务 部 人 员 等 关键 岗位 业务 人 员 的 终 
端的 使 用 威胁 较 大 ， 而 对 于 临时 人 员 和 外 部 人 员 ， 因 无 法 事先 作出 驱动 程序 基线 ， 风 险 较 大 。 

风险 点 (15-16): 该 风险 还 是 跟 内 部 人 员 的 角色 级 别 有 关 。 

a) 高 级 管理 岗位 ， 如 区 域 负责 人 等 高 层 领导 ， 风 险 很 大 。 

b) 地 市 部 门 主管 、 网 络 管理 员 、 配 置 管理 员 、 系 统管 理 员 、 财 务 部 人 员 等 关键 岗位 业 
务 人 员 ， 风 险 较 大 。 

c) 网 络 管理 员 ， 风 险 较 大 ， 

d) 合 规 性 要 求 

合 规 性 要 求 见 表 A-26。 


序 号 


2. 风险 管控 

每 类 风险 在 管控 过 程 中 ， 针 对 风险 的 事前 、 事 中 和 事后 3 种 状态 进行 监控 ， 做 到 事前 预 
防 、 事 中 控制 、 事 后 审计 追查 。 下 面 的 风险 管控 处 理 流 程 ， 尽 量 从 事前 、 事 中 和 事后 3 方面 
对 风险 管控 进行 描述 。 

(1) 风险 点 (1-14): 终端 系统 驱动 监控 缺失 和 基线 风险 

事前 处 置 : 对 于 类 似 风险 ， 需 要 制定 一 系列 的 管理 措施 ， 如 《主机 安全 管理 制度 》， 其 
中 需要 针对 现 有 不 同 的 品牌 终端 ， 按 照 不 同 的 操作 系统 、 外 设 、 存 储 做 出 驱动 文件 的 白 名 单 
文件 ， 形 成 驱动 监控 策略 。 

事 中 处 置 : 安装 终端 防护 工具 ， 在 终端 系统 运行 期 间 ， 监 控 和 防护 在 终端 系统 的 关键 位 
置 ， 结 合 主动 防御 技术 ， 进 行 全 面 的 监控 ， 任 何 访问 或 数据 的 修改 都 将 被 记录 在 案 ， 而 对 于 
管理 人 员 所 关注 的 内 容 或 被 管理 人 员 定 义 为 违规 的 行为 将 被 禁止 。 但 因为 在 驱动 中 有 许多 动 
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作 发 生 没有 关联 性 ， 所 以 对 于 驱动 中 的 行为 难以 甚至 无 法 进行 行为 关联 分 析 ， 所 以 有 些 情 况 
会 需要 用 户 配 合 进行 ， 由 用 户 来 决定 禁止 或 允许 。 

事后 处 置 ， 如 果 存 在 个 别 的 驱动 不 能 被 禁止 也 不 能 被 自动 卸载 ， 可 以 通过 报警 的 方式 通 
知 管理 人 员 ， 由 管理 人 员 进 行人 工务 载 或 处 理 ， 如 果 人 工 也 不 能 处 理 则 可 以 尝试 用 以 前 的 驱 
动 备份 进行 恢复 。 

控制 流程 见 图 A-21。 

终端 系统 驱动 监控 缺失 和 基线 风险 


终端 使 用 者 系统 管理 员 安全 管理 员 


制定 完善 《设备 
管理 制度 》 
终端 品牌 确定 驱动 制定 完善 《安全 监控 


系统 外 设 存储 白 名 单 策略 管理 制度 》 
制定 完善 《主机 安全 
管理 制度 》 
修改 完善 策略 


终端 主机 驱动 管理 平台 | 


< 事前 阶段 > 


文件 记录 监控 分 析 | 
息 否 出 现 驱 
文件 变 人 f 


< 事 中 阶段 > 


< 事后 阶段 > 


K 


(2) 风险 点 (15-16): 终端 系统 驱动 技术 控制 风险 

事前 处 置 : 需要 不 断 完善 “从 终端 上 得 到 反馈 ”的 技术 机 制 ， 测 试验 证 该 机 制 可 以 实 
现 ， 需 要 制定 有 关 的 应 急 啊 应 预案 ， 一 旦 出 现 策略 与 业务 发 生 冲 突 时 ， 需 要 局 动 : 另外 ， 如 
条 有 关 人 策略 一 旦 被 停止 和 被 删除 不 能 及 时 更 新 而 技术 手段 无 法 实现 时 需要 局 动 。 

事 中 处 置 : 通过 分 析 实 时 的 通信 有 日志， 及 时 了 解 驱 动 程序 白 名 单 朱 略 与 某 些 业务 是 否 冲 
突 ， 了 驱动 程序 白 名 蛙 集 略 集 止 和 被 删除 ， 或 者 了 解 驱 动 程序 白 名 单打 上 略 已 经 得 到 更 新 ， 如 果 
在 规定 的 时 间 内 得 不 到 反馈 信息 ， 需 要 启动 应 和 急 预 案 ; 一 旦 出 现 集 略 与 业务 的 兼容 性 问题 ， 
需要 有 逃生 机 制 ， 即 通过 人 工 缀 载 策 略 ， 确 保 业 务 的 顺利 进行 。 

事后 处 置 : 一 旦 前 面 的 技术 手段 都 失效 ， 需 要 在 安全 主管 的 认可 下 局 动 应 急 预 案 。 首 先 
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在 确保 业务 顺利 进行 的 前 提 下 ， 人 工 在 本 地 更 新 或 卸载 策略 。 在 此 基础 上 再 考虑 其 他 问题 ， 
如 策略 不 能 更 新 的 故障 原因 、 涉 及 的 部 门 和 人 员 ， 造 成 问题 的 是 平台 本 身 的 性 能 原因 ， 还 是 


其 他 问题 ， 这 些 问题 是 否 在 管理 制度 中 作出 了 相关 规定 ， 是 否 需要 完善 或 补充 等 。 
控制 流程 见 图 A-22。 


终端 系统 驱动 技术 控制 风险 


2 系统 管理 员 ; 

终 ， > 

I (测试 人 员 ) ( 安 
完善 终端 反馈 机 制 呈 re 部 


管理 规范 


人 
慌 
往 
演 
博 
V 


终端 访问 
日 志 


< 事 中 阶段 > 


逃生 机 制 


Eee 


图 A-22 


必 < 事后 阶段 > 


3. 风险 控制 效果 

在 通过 以 上 所 描述 的 全 面 监控 结合 主动 防御 技术 的 安全 管理 控制 下 ， 基 本 上 能 保证 当前 
系统 中 的 正常 合法 驱动 不 被 破坏 ， 同 时 非法 的 恶意 驱动 程序 不 能 被 安装 ， 即 使 安装 了 在 进行 
数据 访问 或 修改 时 也 会 被 禁止 ， 同 时 被 禁止 的 动作 也 会 被 上 报到 服务 器 ， 以 供 管理 人 员 进 行 
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分 析 与 处 理 ， 如 果 确 实 存 在 个 别 的 驱动 难以 控制 或 处 理 ， 也 可 以 通过 报警 的 方式 上 报 给 管理 
人 员 ， 进 行人 工 凶 载 或 恢复 ， 通 过 以 上 一 系列 的 处 理 ， 基 本 可 以 做 到 终端 机 器 在 面 对 恶 意 驱 
动 程序 时 能 够 对 关键 或 保密 的 数据 进行 有 效 的 保护 ， 同 时 对 难以 处 理 的 驱动 辐 管理 人 员 报 
警 ， 要 求人 工 协助 或 操作 。 


A.3.5 ”基本 配置 风险 (6 个 风险 点 ) 


1. 风险 分 析 

(1) 风险 描述 

客户 半 计 算 机 安全 配置 的 选项 非常 多 而 且 复 杂 ， 如 朱 配 置 个 好 ， 往 往 会 造成 重要 数据 的 
泄漏 ;不 能 及 时 跟踪 和 发 现 潜在 的 安全 配置 问题 ， 将 导致 终端 一 直 处 于 数据 泄漏 状态 。 终 端 安 
全 配置 选项 繁多 ， 并 且 配 置 时 需要 专业 的 安全 技术 ， 单 靠 终端 使 用 者 的 自行 配置 ， 很 难 达 到 安 
全 标准 。 而 一 个 局 域 网 内 有 上 百 台 终端 ， 单 靠 网 络 管理 人 员 很 难 对 网 络 内 的 终端 进行 快速 配置 
和 检查 。 目 前 对 于 终端 的 配置 ， 推 荐 使 用 终端 安全 配置 中 心 的 方式 ， 通 过 终端 安全 配置 中 心 根 
据 用 户 角色 对 终端 实现 全 方位 的 安全 等 级 配置 ， 从 而 降低 因为 终端 配置 而 带 来 的 安全 风险 。 

终端 的 安全 配置 中 心 保 存 着 多 种 整体 的 安全 配置 策略 ， 每 个 配置 策略 涉及 了 整个 终端 的 
安全 ; 一 个 配置 策略 对 应 一 个 安全 等 级 ， 等 级 分 为 高 级 、 中 级 、 一 般 。 终 端的 配置 中 心 会 根 
据 网 络 管理 员 的 指令 自动 应 用 相应 的 等 级 配置 。 

配置 中 心安 全 等 级 分 类 : 高级、 中级、 一般。 配置 的 选项 可 以 根据 用 户 要 求 定制 ， 目 前 
根据 行业 里 的 安全 标准 优先 定义 如 表 A-27。 


表 A-27 
配置 项 二 般 
补丁 升级 ee 
软件 防火 二 
用 户 身份 可 选 
网 络 设置 可 选 
全 浏览 器 的 设置 i i i 可 选 
启动 项 的 设置 人 可 选 
ee 屏保 的 目的 是 当 使 用 者 离开 终端 时 ， 吉 免 其 他 人 员 绕 开 身份 认 
屏保 的 设置 证 ， 直 接 以 当前 已 登录 的 身份 操作 ， 而 采取 的 一 种 保护 方式 。 本 运 
用 户 定制 的 安全 设置 | 定制 设置 根据 用 户 特定 的 安全 需求 来 对 机 器 的 设置 可 选 
(2) 相关 风险 点 
终端 基本 配置 风险 点 见 表 A-28。 
表 A-28 
殷 患 /风险 


ii 心 给 终 到 了 车 终端 修 
en, | 


vi ee 葡 W 
心 给 终端 间 人 


终端 上 获取 的 基本 配置 信 二 不 完 无 二 基线 比较 


171 


RS 终端 安全 风险 管理 

(a) 基于 资产 使 用 生命 周期 分 析 

该 类 风险 涉及 入 网 前 、 运 行 阶段 。 入 网 前 由 于 终端 资产 不 包含 敏感 信息 和 数据 ， 风 险 较 
低 。 入 网 后 ， 由 于 运行 过 程 中 涉及 敏感 信息 和 生产 数据 ， 如 果 不 加 以 控制 ， 导 致 的 损失 较 
大 ， 风 险 较 高 。 基 本 配置 风险 对 终端 的 影响 在 资产 使 用 生命 周期 的 体现 如 下 。 

风险 点 (1.6): 入 网 前 ， 不 能 对 终端 下 发 配置 策略 ， 此 时 终端 的 配置 完全 取决 于 终端 本 
身 ， 如 果 配 置 的 策略 不 合理 ， 会 导致 终端 的 一 些 信 息 泄漏 或 服务 开放 ， 但 因为 其 还 没有 接 入 
到 网 络 ， 风 险 较 低 ， 

进入 运行 阶段 后 ， 可 以 通过 配置 中 心 给 其 下 发 策略 ， 如 果 终端 配置 的 基本 配置 策略 不 合 
理 ， 会 导致 终端 上 一些 信息 泄漏 ， 开 放 的 服务 可 以 为 其 他 不 合法 的 终端 访问 ， 风 险 较 高 ， 

维护 阶段 和 报废 阶段 ， 基 本 配置 不 合理 ， 风 险 较 低 。 

Cb) 与 信息 安全 关系 

基本 配置 的 风险 涉及 在 线 信息 安全 风险 和 存储 信息 风险 。 

风险 点 (1-6); 基本 配置 不 合理 ， 如 果 配 置 开放 了 一 些 端 口 或 服务 ， 会 造成 在 线 信息 江 
泼 的 风险 。 对 存储 信息 而 言 ， 因 为 配置 不 合理 ， 一 些 端 口 或 服务 开放 ， 可 以 对 存储 信息 进行 
查看 或 修改 ， 存 在 信息 泄漏 或 算 改 的 风险 。 

Cc) 基于 资产 使 用 人 分 析 

风险 点 (1-6); 任何 岗位 角色 都 涉及 终端 的 基本 配置 不 合理 的 风险 。 因 此 ， 该 风险 与 内 
部 人 员 相关 : 

a) 高 级 管理 岗位 ， 如 区 域 负责 人 等 高 层 领导 . 

b) 地 市 部 门 主管 、 网 络 管理 员 、 配 置 管理 员 、 系 统管 理 员 、 财 务 部 人 员 等 关键 岗位 业 
务 人 员 。 

c) 开发 人 员 、 研 发 人 员 等 ， 需 要 根据 业务 和 工作 需要 对 不 同 的 终端 执行 不 同 的 终端 基 
本 配置 策略 。 

临时 人 员 : 辅助 人 员 岗 位 《如 食堂 、 车 队 、 绿 化 等 人 员 )， 该 类 人 员 在 使 用 终端 的 过 程 
中 ， 不 允许 改变 终端 的 基本 配置 

外 来 人 员 ， 外 来 厂家 人 员 、 外 来 维护 人 员 一 般 情况 下 ， 是 不 赋予 基本 配置 的 更 改 权限 
的 ， 如 果 因为 工作 需要 ， 需 要 先 将 更 改 的 配置 项 报批 ， 在 基本 配置 变更 中 备案 后 ， 再 根据 相 
关 的 政策 对 终端 的 基本 配置 做 修改 。 

d) 合 规 性 要 求 

合 规 性 要 求 见 表 A_29。 


表 A-29 


; , 等 级 保护 三 级 ) 要 求 


7.2.5.7 系统 安全 管理 (G3) 


1 d) 应 建立 系统 安全 管理 制度 ， 对 系统 安全 策略 、 安 全 配置 、 日 志 管理 
和 日 第 操作 流程 等 方面 作出 具体 规定 


2. 风险 管控 
每 类 风险 在 管控 过 程 中 ， 针 对 风险 的 事前 、 事 中 和 事后 3 种 状态 进行 监控 ， 做 到 事前 预 
防 、 事 中 控制 、 事 后 审计 追查 。 下 面 的 风险 管控 处 理 流程 ， 尽 量 从 事前 、 事 中 和 事后 3 方面 


172 


终端 安全 基础 风险 | 六 学 
对 风险 进行 管控 。 

(CD 风险 点 《1-4); 终端 用 户 对 下 发 的 基本 配置 进行 修改 的 管理 控制 风险 

事前 处 置 ， 根 据 用 户 的 角色 来 给 出 安全 配置 等 级 ， 如 高 层 领导 ， 则 由 于 其 终端 含有 企业 
核心 信息 和 涉 密 信息 ， 配 置 等 级 应 该 是 高 级 ， 还 有 部 门 主管 、 网 络 管理 员 、 配 置 管理 员 、 系 
统管 理 员 、 财 务 部 人 员 等 关键 岗位 业务 人 员 ， 也 应 该 是 高 级 。 终 端 配置 等 级 的 配置 项 必须 严 
格 遵循 国家 的 等 级 保护 条 款 ， 只 能 增加 新 的 配置 选项 ， 而 不 能 漏 掉 等 保 里 要 求 的 设置 选项 。 
自动 配置 能 识别 当前 系统 环境 ， 并 能 成 功 应 用 等 级 配置 策略 ， 终 端 能 正确 安装 设置 运行 。 

事 中 处 置 ， 配 置 中 心 根据 当前 终端 配置 信息 对 比 应 用 的 等 级 配置 策略 来 发 现 配置 上 的 漏 
洞 ， 及 时 通知 管理 员 ， 管 理 员 必须 立即 作出 回复 等 级 配置 操作 。 

事后 处 置 ， 对 于 该 类 风险 ， 保 留 日 志 记 录 ， 如 果 出 现 安全 事件 ， 可 以 追溯 责任 人 ， 

控制 流程 见 图 A-23。 


终端 用 户 对 下 发 的 基本 配置 进行 修改 的 管理 控制 风险 


《终端 基本 配置 管理 制度 》: 
制度 规定 不 允许 随意 修改 给 
、 终端 下 发 的 基本 配置 
终端 配置 检测 策略 a 
多 也 从 和 师 日、 
配置 信息 


< 事前 阶段 > 


终端 配置 策略 与 
基线 策略 不 符合 


是 示 终 端 用 户 恢复 


用 户 按 要 求 


村 
终端 用 户 操作 / 是/ 


行政 扣 分 ER 
多 次 违规 断 网 调整 安全 策略 本 


图 A-23 


< 事 中 阶段 > 


< 事后 阶段 > 
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(2) 风险 点 (5) 

对 这 块 风险 的 控制 主要 是 制度 上 的 管控 ， 及 时 调整 给 不 同 终端 下 发 的 策略 ， 保 证 这 个 基 
线 的 策略 是 符合 实际 要 求 的 。 

(3) 风险 点 (6) 

残余 风险 ， 对 终端 的 配置 信息 进行 了 获取 ， 但 获取 的 配置 信息 不 准确 ， 导 致 后 续 与 基线 
的 比较 结果 不 准确 。 属 于 技术 管控 下 的 残余 风险 。 

3， 风 险 控制 效果 

配置 中 心 快 速 解决 掉 局 域 网 内 的 终端 因为 配置 上 存在 的 安全 漏洞 而 泄漏 重要 信息 。 所 有 
的 配置 操作 都 是 自动 完成 ， 方 便 快 速 地 提高 了 终端 的 安全 ， 
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终端 安全 运行 风险 〈RR:Running Risk) 管理 是 终端 在 运行 过 程 产生 的 风险 ， 包 括 网 络 运 
行 安全 风险 、 终 端 运行 安 全 风险 和 网 络 边界 风险 3 大 类 。 

终端 安全 运行 风险 管理 为 整个 终端 安全 管理 平台 所 需要 管理 的 核心 部 分 ， 主 要 包括 在 终 
端 安全 防护 平台 中 涉及 的 所 有 有 关 风 险 的 事件 。 

终端 安全 运行 风险 详 见 图 B-1。 


RR1.1.1- 网 络 设备 运行 风险 


RR1.1.2- 终端 流量 异常 风险 


RR1.1.3- 终端 违规 网 络 访问 风险 


RR1.2.5- 终端 节能 风险 


RR1.3.1- 违规 内 联 
RR1.3- 网 络 边界 风险 RR1.3.2- 违规 外 联 


图 B-=-l 


a 网 络 运 行 安 全 (RR1.1) 


B.1.1 网 络 设 备 运行 风险 (12 个 风险 后 ) 


1. 风险 分 析 

网 络 逐 渐 扩 大 ， 设 备 越 来 越 多 ， 网 络 设备 信息 的 收集 和 设备 管理 变 得 日 益 复 杂 和 党 重 ， 
对 网 络 管理 也 提出 了 更 高 的 要 求 。 网 络 管理 中 最 常用 的 管理 方式 是 网 络 拓扑 有 发现， 通过 网 络 
拓扑 发 现 ， 可 以 获取 和 维护 网 络 节 点 的 存在 信息 和 它们 之 间 的 连接 关系 信息 ， 可 以 收集 网 络 
设备 的 信息 ， 并 在 此 基础 上 绘制 出 整个 网 络 拓扑 图 。 在 遇 到 紧急 情况 时 ， 能 根据 网 络 拓扑 及 
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时 定位 终端 的 位 置 并 做 出 相应 的 调整 。 对 网 络 设备 的 运行 实行 可 知 、 可 控 、 可 管 十 分 重要 ， 

该 类 风险 主要 表现 为 ， 因 为 环境 、 硬 件 、 通 信 等 方面 缺少 管理 制度 、 流 程 和 技术 监控 ， 
造成 网 络 设备 运行 的 无 序 ， 具 体 表现 为 以 下 4 个 方面 : 

1) 环境 风险 。 由 于 一 般 的 接 入 层 网 络 设备 没有 单独 的 机 房 ， 一 般 就 安装 在 办 公 室 和 走廊 的 
角落 ， 灰 人 尘 、 温 度 、 湿 度 、 线 路 布置 等 方面 的 考虑 不 够 ， 因 此 可 能 在 这 些 方面 出 现 运行 风险 。 

2) 硬件 风险 。 这 里 主要 是 指 设备 本 身 器 件 老化 导致 设备 可 用 性 下 降 ， 出 现 经 过 一 段 时 
间 的 使 用 后 的 死机 ， 转 发 速率 下 降 的 情况 。 

3) 通信 风险 。 网 络 通信 和 具有 交互 性 、 传 播 性 ， 连 通 性 ， 如 果 不 能 及 时 、 有 效 地 知晓 终 
端 与 终端 之 间 、 终 端 与 业务 服务 器 之 间 的 连接 关系 ， 进 而 将 这 些 连 接 关系 以 视图 的 方式 提供 
给 管理 员 ， 在 大 型 网 络 中 一 旦 某 台 主机 发 生 故 障 例如 主机 感染 蠕虫 等 传播 性 、 攻 击 性 病毒 导 
致 断 网 事件 ， 由 于 缺乏 基础 的 网 络 设备 布局 或 拓扑 图 ， 则 网 络 管理 人 员 去 定位 故障 机 器 物理 
位 置 连接 情况 将 是 非常 耗费 人 力 和 时 间 的 ， 如 果 遇 到 紧急 情况 未 能 及 时 定位 主机 的 位 置 并 做 
出 调整 ， 就 会 给 整个 网 络 造成 影响 和 危害 ， 造 成 依赖 网 络 的 业务 不 能 及 时 恢复 。 

4) 监控 工具 本 身 性 能 风险 ， 由 于 使 用 工具 监控 网 络 运行 状态 的 技术 手段 的 不 足 ， 不 能 
收集 到 所 有 的 网 络 事件 ， 或 者 不 能 全 部 分 析 ， 造 成 监控 不 能 及 时 发 现 所 有 的 网 络 运行 ， 或 者 
不 能 对 所 有 的 违规 网 络 运行 及 时 告警 或 处 理 ， 造 成 安全 策略 执行 不 到 位 甚至 给 业务 带 来 极 大 
的 安全 风险 。 

下 面 将 对 网 络 设备 运行 风险 进行 详细 的 分 解 。 

(2) 相关 风险 点 

网 络 设备 运行 风险 点 详 见 表 B-1。 


表 B-1 


上 TI 
网 络 通信 状态 、 拓 扑 不 明 隐患 


网 络 设 
备 运行 次 生 风险 隐患 
风险 


网 络 运行 拓扑 等 基础 信息 做 详细 的 调查 了 解 ， 隐患 
终端 设备 之 间 、 终 端 设备 与 关键 业务 资产 的 连接 关系 隐患 
动 绘制 并 更 新 拓扑 图 隐患 
昌平 台 不 能 远程 监控 管理 全 部 网 络 设备 和 终端 隐患 
里 平台 事件 记录 不 全 ， 导 致 某 些 事件 后 续 无 法 追 洲 隐患 

以 下 将 分 别 从 资产 使 用 生命 周期 、 相 关 信 息 安 全 、 资 产 使 用 人 员 、 和 合 规 性 4 个 方面 对 
以 上 12 个 风险 点 进行 详细 描述 。 

(a) 基于 资产 使 用 生命 周期 分 析 

资产 使 用 生命 周期 包含 入 网 前 、 运 行 阶段 、 维 修 阶段 、 报 废 阶段 ， 网 络 设 备 运行 风险 按 
照 资产 使 用 生命 周期 的 分 析 如 下 。 
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风险 点 (1、5): 涉及 运行 阶段 ， 在 这 个 阶段 ， 需 要 保证 终端 运行 的 温度 和 湿度 在 国家 
标准 的 范围 之 内 。 人 否则 可 能 引起 终端 运行 不 正 篆 。 

风险 点 (2、6): 涉及 资产 的 整个 生命 周期 。 终 端 在 入 网 前 ， 需 要 登记 该 设备 的 人 P、 
MAC 地 址 ，CPU、 主 板 、 硬 盘 的 型 号 和 序号 以 及 登记 日 期 ， 并 确定 正常 的 使 用 寿命 期 限 ; 
在 运行 阶段 ， 需 要 判断 是 否 已 经 超出 了 使 用 寿命 期 限 ， 一 旦 超过 ， 需 要 回 管 理 员 上 报 ， 并 且 
要 求 管 理 员 反馈 是 否 已 经 接收 并 及 时 处 理 ， 在 维修 阶段 ， 需 要 在 资产 管理 平台 中 及 时 更 新 硬 
件 变 化 的 信息 ， 入 网 前 重新 走 入 网 流程 。 

风险 点 (4、7): 涉及 入 网 前 、 运 行 阶段 、 维 修 阶 段 。 由 于 缺乏 基础 的 网 络 设备 布局 或 拓 
扑 图 ， 一 旦 出 现 断 网 情况 ， 不 能 及 时 找到 故障 点 。 在 入 网 前 ， 没 有 了 解 网 络 设备 或 终端 的 中 地 
址 、 机 器 名 、 接 入 网 络 设备 端口 号 、 有 具体 地 理 信息 〈 单 位 、 楼 层 、 房 间 号 等 )、 关 键 业 务 服务 器 
名 称 等 ， 或 者 是 有 这 些 信息 但 是 没有 及 时 更 新 这 些 基线 信息 ， 导 致 不 能 掌握 及 时 的 网 络 态势 。 

风险 点 (3、8、9、10): 涉及 运行 阶段 。 如 果 不 能 及 时 、 有 效 地 知晓 终端 与 终端 之 间 、 终 
端 与 业务 服务 器 之 间 的 连接 关系 ， 一 旦 网 络 出 现 晴 虫 爆发 、 大 规模 攻击 造成 网 络 瘫痪 的 局 
面 ， 就 会 给 严重 依赖 网 络 的 关键 业务 带 来 严重 的 风险 。 有 具体 情况 分 为 有 网 络 设备 的 运行 情况 
和 联网 信息 不 能 获取 ， 终 端 与 终端 之 间 的 信息 不 能 获取 ， 终 端 和 服务 器 之 间 的 信息 不 能 获取 
3 类 ， 或 者 这 些 信息 不 能 及 时 传送 给 管理 员 ， 不 能 及 时 绘制 并 更 新 拓扑 图 ， 势 必 带 来 业务 中 
断 的 风险 。 

风险 点 (11、12): 涉及 运行 阶段 ， 如 果 技 术 上 监控 网 络 运行 状态 的 技术 手段 的 不 足 ， 
不 能 收集 到 所 有 的 网 络 事件 ， 或 者 不 能 全 部 分 析 ， 则 造成 监控 不 能 及 时 发 现 所 有 的 网 络 运 
行 ， 或 者 不 能 对 所 有 的 违规 网 络 运行 及 时 告警 或 处 理 ， 造 成 安全 策略 执行 不 到 位 。 将 会 给 业 
务 带 来 极 大 的 安全 隐患 。 

(b) 基于 相关 信息 安全 关系 分 析 

相关 信息 安全 分 为 在 线 信 息 风 险 和 存储 信息 风险 ， 网 络 设备 运行 风险 按照 相关 信息 安全 
关系 的 分 析 如 下 。 

风险 点 (1、2、5、6): 如 果 环 境 条 件 和 硬件 信息 不 能 及 时 知晓 并 采取 相应 措施 ， 则 网 
络 设备 运行 会 面临 威胁 ， 涉 及 在 线 和 存储 信息 风险 。 

风险 点 〈3、8、9、10): 如 果 不 能 及 时 、 有 效 地 知晓 终端 与 终端 之 间 、 终 端 与 业务 服务 
器 之 间 的 连接 关系 ， 一 旦 网 络 出 现 蠕虫 爆发 、 大 规模 攻击 造成 网 络 瘫痪 的 局 面 ， 就 会 给 严重 
依赖 网 络 的 关键 业务 带 来 严重 的 风险 ， 影 响 在 线 信 息 的 正常 处 理 ， 涉 及 在 线 信 息 安全 风险 。 

风险 点 〈4、7): 如 果 没 有 能 够 及 时 反映 网 络 环境 的 拓扑 ， 一 旦 出 现 网 络 事件 ， 会 带 来 
无 法 及 时 、 准 确定 位 的 风险 ， 涉 及 在 线 信息 和 存储 信息 风险 。 

(c) 基于 资产 使 用 人 分 析 

资产 (终端 ) 使 用 人 包括 内 部 人 员 、 临 时 人 员 和 外 部 人 员 3 大 类 ， 而 内 部 人 员 可 以 再 细 
分 为 高 级 管理 者 、 关 键 业务 人 员 和 网 络 管理 人 3 种 角色 ， 临 时 人 员 主 要 是 辅助 人 员 岗 位 (如 
食 尝 、 车 队 、 绿 化 等 人 员 )， 而 外 部 人 员 包 括 外 来 厂商 运 维 人 员 和 系统 内 外 来 人 员 。 终 端的 
使 用 者 因为 不 同 的 角色 和 不 同 的 操作 意图 ， 一 个 相同 的 风险 点 对 应 不 同 映 份 的 终端 使 用 人 风 
险 级 别 也 不 同 。 将 网 络 设备 运行 风险 按照 终端 使 用 人 角色 分 析 如 下 。 

风险 点 (1-2): 人 员 风 险 ， 涉 及 内 部 人 员 、 临 时 人 员 、 外 部 人 员 相 关 ， 如 果 没 有 及 时 有 
效 的 机 房 防护 措施 和 机 房管 理 制度 ， 一 旦 出 现 临 时 人 员 、 外 部 人 员 因 为 不 熟悉 环境 ， 束 可 能 
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出 现 确 碰 网 线 、 电 源 造成 断 网 风险 。 

风险 点 〈3.4)， 对 于 内 部 人 员 ， 需 要 对 其 使 用 的 机 器 名 、 耳 地 址 、MAC 地 址 、 接 入 网 络 设 
备 的 端口 号 等 基本 信息 做 出 详细 的 调查 和 统计 ， 否 则 一 旦 出 现 网 络 运行 故障 ， 不 能 及 时 定位 
到 人 

风险 点 (3-4): 对 于 临时 人 员 和 外 来 人 员 ， 如 果 自 带电 脑 入 网 ， 没 有 及 时 将 机 器 名 、IP 
地 址 、MAC 地 址 、 接 入 网 络 设备 的 端口 号 等 基本 信息 收集 下 来 更 新 拓扑 的 话 ， 一 旦 因 这 些 
电脑 的 问题 导致 内 部 断 网 的 话 ， 给 内 部 网 络 环境 带 来 较 大 风险 ， 

风险 点 (5-6); 对 于 内 部 人 员 的 使 用 终端 的 环境 及 时 获取 ， 并 需要 追溯 其 使 用 周期 ， 否 
则 会 出 现 风险 。 

风险 点 (7，8，9，10): 对 于 内 部 人 员 来 说 ， 他 们 之 间 的 访问 ， 他 们 跟 业 务 主机 之 间 的 
访问 、 运 行情 况 和 联网 信息 需要 及 时 掌控 ， 和 否则 会 给 内 部 环境 带 来 较 大 的 风险 ， 对 于 外 部 人 
员 来 说 ， 更 要 严密 监控 其 网 络 行为 ， 避 免 给 内 部 网 络 带 来 严重 的 风险 。 

风险 点 〈1L12)， 如 果 平 台 性 能 不 足 ， 不 能 监控 管理 全 部 网 络 设备 和 终端 ， 最 大 可 能 的 
风险 还 是 会 来 自 外 来 人 员 ， 其 次 是 内 部 关键 业务 人 员 和 网 络 管理 员 ， 再 次 是 临时 人 员 。 

cd) 合 规 性 要 求 

合 规 性 要 求 见 表 B-2。 


表 B-2 


7.1.2.1 结构 安全 (G3) 

a) 应 保证 主要 网 络 设备 的 业务 处 理 能 力 具备 见 余 空间 ， 满 足 业 务 高 峰 期 需要 
b) 应 保证 网 络 各 个 部 分 的 带宽 满足 业务 高 峰 期 需要 
c) 应 在 业务 终端 与 业务 服务 器 之 间 进 行路 由 控制 ， 建 立 安 全 的 访问 路 径 
d) 应 绘制 与 当前 运行 情况 相符 的 网 络 拓扑 结构 图 


1 e) 应 根据 各 部 门 的 工作 职能 、 重 要 性 和 所 涉及 信息 的 重要 程度 等 因素 ， 划 分 不 同 
的 子 网 或 网 段 ， 并 按照 方便 管理 和 控制 的 原则 为 各 子 网 、 网 段 分 配 地 址 段 
f) 应 避免 将 重要 网 段 部 署 在 网 络 边界 处 且 直 接连 接 外 部 信息 系统 ， 重 要 网 段 与 


ly 


他 网 段 之 间 采 取 可 靠 的 技术 隔离 手段 
g) 应 按照 对 业务 服务 的 重要 次 序 来 指定 带宽 分 配 优先 级 别 ， 保 证 在 网 络 发 生 拥 堵 
的 时 候 优先 保护 重要 主机 


7.1.2.3 安全 审计 (G3) 

a) 应 对 网 络 系统 中 的 网 络 设备 运行 状况 、 网 络 流量 、 用 户 行 为 等 进行 日 志 记 录 

b) 审计 记录 应 包括 : 事件 的 日 期 和 时 间 、 用 户 、 事 件 类 型 、 事 件 是 否 成 功 及 其 他 
与 审计 相关 的 信息 
c) 应 能 够 根据 记录 数据 进行 分 析 ， 并 生成 审计 报表 

d) 应 对 审计 记录 进行 保护 ， 避 免 受到 未 预期 的 删除 、 修 改 或 覆盖 等 


2 网 络 安全 


n> 


2. 风险 管控 

每 类 风险 在 管控 过 程 中 ， 针 对 风险 的 事前 、 事 中 和 事后 3 种 状态 进行 监控 ， 做 到 事前 预 
防 、 事 中 控制 、 事 后 审计 追查 。 下 面 的 风险 管控 处 理 流 程 ， 尽 量 从 事前 、 事 中 和 事后 3 方面 
对 风险 进行 管控 

(1) 风险 点 (1、5): 网 络 设备 运行 环境 风险 

事前 处 置 : 根据 有 关 标 准 ， 制 定 《 设 备 管理 制度 》《 资 产 管 理 制 度 》 等 管理 制度 ， 详 细 
规定 如 湿度 和 温度 的 具体 设 定 值 ， 并 且 在 相应 的 应 急 预 案 中 明确 一 旦 环境 因素 超出 了 规定 值 
后 需要 采取 的 应 急 措施 ， 并 且 有 关 人 员 需 要 按照 应 急 措 施 定 期 演练 ， 以 达到 熟悉 的 程度 。 
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事 中 处 置 : 根据 设 定 的 湿度 和 温度 值 ， 周 期 检测 ， 当 发 现 环境 因素 风险 时 ， 及 时 采取 技 
术 手 段 处 理 ， 并 记录 。 

事后 处 置 : 一 旦 技术 手段 采取 后 无 法 取得 效果 ， 或 人 工 发 现 技术 手段 已 经 失效 ， 需 要 通 
过 人 工 流 程 加 以 干涉 。 

控制 流程 见 图 B-2。 


< 网络 设备 运行 环境 风险 > 


| 


熟悉 有 关 管理 制度 和 制定 完善 《环境 
应 急 预案 ， 熟 秋 了 解 管理 制度 》 
有 关 环境 风险 要 素 ， 制定 完善 《资产 
并 且 定期 演练 管理 制度 》 


< 事前 阶段 > 


加 载 策略 
Pe 


环境 因素 | 


= 是 否 出 现 风险 
2 
记录 ， 日 志 记 录 


评估 采取 对 应 手段 
做 出 新 的 策略 或 启 
动人 工 的 应 急 预 案 


< 事 中 阶段 > 


启动 应 急流 程 


必 < 事 后 阶段 > 


图 B-2 
(2) 风险 点 (2、6): 网 络 设备 老化 风险 
事前 处 置 对 于 类 似 风 险 ， 需 要 针对 现 有 终端 和 其 他 网 络 设备 做 出 周密 调查 和 检测 ， 严 
格 执行 《资产 管理 制度 》 和 《设备 管理 制度 》， 在 入 网 前 ,需要 在 登记 入 网 时 记录 该 设备 的 
MAC 地 址 、CPU、 主 板 、 人 硬盘 的 型 号 和 序号 ， 以 及 登记 日 期 ， 并 确定 正常 的 使 用 寿命 期 限 。 
事 中 处 置 : 在 运行 阶段 需要 判断 该 设备 是 否 已 经 超出 了 使 用 寿命 期 限 。 一 旦 超过 ， 需 要 
问 管 理 员 上 报 ， 并 且 要 求 管理 员 反 馈 是 否 已 经 接收 并 及 时 处 理 。 在 维修 阶段 需要 在 资产 管理 
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平台 中 及 时 更 新 硬件 变化 的 信息 ， 入 网 前 重新 走 入 网 流程。 

事后 处 置 。 监 控 平 台 需 要 将 在 网 设备 即将 到 期 或 已 经 到 期 的 设备 列 出 清单 ， 供 安全 主管 
拟定 设备 更 新 计划 。 

控制 流程 见 图 B-3。 


< 网 络 设备 运行 老化 风险 > 


终端 使 用 者 安全 管理 员 


严格 执行 有 关 制 度 及 时 制定 完善 《资产 
将 有 关 设 备 的 入 网 时 间 管理 制度 》 
和 使 用 年 限 转化 为 管理 制定 完善 《设备 
平台 的 安全 策略 管理 制度 》 


< 事前 阶段 > 


实时 监控 | 


| 
设备 运行 周期 是 否 


| 


< 事 中 阶段 > 


< 事后 阶段 > 


< 


图 B-3 

(3) 风险 点 (3、4、7、8、9、10): 网 络 设备 运行 基线 和 通信 风险 

事前 处 置 : 对 于 类 似 风 险 ， 需 要 针对 现 有 终端 和 其 他 网 络 设备 做 出 周密 调查 和 检测 ， 将 
其 网 络 属性 如 卫 地 址 、 主 机 名 和 MIB 信息 完整 收集 上 来 ， 根 据 不 同类 型 的 设备 ， 分 别 用 基 
于 SNMP 的 网 络 拓扑 发 现 方法 ， 基 于 通用 协议 (ping，ARP，telnet) 的 网 络 拓扑 发 现 方法 ， 
基于 路 由 协议 的 网 络 拓扑 发 现 方法 这 3 种 方法 ， 最 终 映 射 为 拓扑 自动 发 现 系统 的 策略 。 需 要 
了 解 和 掌控 终端 与 终端 之 间 ， 终 端 与 业务 主机 之 间 的 访问 ， 运 行情 况 和 联网 信息 。 以 此 作为 
监控 终端 通信 的 基线 。 

事 中 处 置 : 将 上 述 的 拓扑 和 基线 映射 为 安全 策略 并 加 载 到 管理 平台 中 ;通过 管理 平台 对 网 
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络 设备 的 运行 情况 进行 监控 ， 发 现 设备 拓扑 是 否 变 化 ， 是 否 出 现 新 的 节 把， 一 旦 友 现 异 第 ， 需 

要 及 时 报警 。 如 果 可 以 通过 扩 术 手段 解决 ， 就 通过 技术 手段 解决 ， 否 则 需要 回 主 管 及 时 报警 。 
事后 处 置 : 一 旦 技术 手段 采取 后 无 法 取得 效果 ， 或 人 工 发 现 技术 手段 已 经 失效 ， 需 要 通过 

人 工 流程 加 以 干涉 。 安 全 主管 根据 实际 情况 启动 应 急流 程 ， 通 过 管理 和 人 工 的 办 法 消 缉 风险 。 
控制 流程 见 图 B-4。 


< 网 络 设备 运行 通信 风险 > 


终 冰 使 用 者 


制定 完善 《环境 
根据 有 关 管 理 制度 、 管理 制度 》 
详细 的 调查 环境 和 制定 完善 《资产 
网 络 拓扑 ， 建 立 基 管理 制度 》 
本 的 设备 运行 基线 制定 完善 《设备 
人 管理 制度 》 
制定 完善 《网 络 安全 


建立 并 更 新 拓扑 图 管理 制度 》 


< 事前 阶段 > 


网 络 运行 记录 ， 加 载 策略 自动 
日 志 记 录 发 现 网 络 设备 
的 运行 情况 


收集 终端 或 | 


IP, MAC, 
PORT 等 信息 
拓扑 是 否 发 生 


变化 


进入 下 一 个 循环 


< 事后 阶段 > < 事 中 阶段 > 


图 B-=-4 


(4) 风险 点 〈11、12) 网 络 设备 运行 监控 平台 自身 风险 

事前 处 置 : 严格 执行 软件 开发 管理 规范 ， 明 确 功能 需求 ， 严 格 审核 测试 方案 和 测试 用 
例 ， 并 且 确 保 软件 能 够 解决 现 有 工作 中 的 问题 。 充 分 预见 到 可 能 的 失效 场景 ， 拟 定 对 应 的 应 
急 预 案 ， 其 中 明确 一 旦 由 于 平台 的 性 能 出 现 瓶 贷 ， 导 致 业务 停止 的 状况 下 ， 需 要 采取 的 应 急 
措施 。 有 关 人 员 需 要 按照 应 急 措 施 去 定期 演练 ， 以 达到 熟悉 的 程度 。 
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事 中 处 置 : 平台 的 健康 目 诊 断 系统 需要 及 时 检测 平台 的 资源 使 用 情况 ， 如 果 超 出 预先 规 
定 的 阔 值 ， 则 需要 及 时 向 管理 员 报 警 ， 要 求 管 理 员 必须 及 时 反馈 ; 通过 分 级 部 署 的 方式 来 规 
导 集 中 部 署 的 性 能 瓶颈 。 

事后 处 置 : 一 旦 平台 出 现 问题 导致 严重 影响 业务 ， 安 全 主管 必须 及 时 局 动 应 急 预 案 ， 确 
保 业 务 本 身 的 安全 。 在 此 基础 上 再 考虑 其 他 问题 ， 如 故障 现象 、 可 能 的 故障 原因 、 涉 及 的 部 
门 和 人 员 ， 造 成 问题 的 是 平台 本 刁 的 性 能 原因 ， 还 是 其 他 问题 ， 这 些 问题 是 否 在 管理 制度 中 
做 出 了 相关 规定 ， 是 否 需要 完善 或 补充 等 。 

控制 流程 见 图 B-5。 


终端 网 络 设备 运行 监控 平台 自身 风险 


一 系统 管理 员 
终端 使 用 者 (测试 人 员 ) 


< 事前 阶段 > 


< 事 中 阶段 > 


< 事后 阶段 > 


加 大 测试 力度 ， 尽 
可 能 查找 Bug 
是. 不 、 


We 
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3. 风险 控制 效果 

对 于 此 类 风险 涉及 的 环境 、 设 备 老 化 和 通信 的 风险 ， 通 过 采取 管理 、 规 范 、 流 程 、 
技术 不 同 的 措施 ， 分 别 从 事前 、 事 中 、 事 后 3 个 方面 来 加 以 控制 ， 可 以 基本 达到 风险 管 
控 的 目的 。 

通过 事前 调查 各 种 网 络 设 备 ， 包 括 终 端的 网 络 属 性 ， 确 定 不 同 的 拓扑 发 现 方 式 ， 从 
而 拓扑 发 现 系 统 的 策略 也 得 到 了 确定 ， 进 而 事 中 目 动 拓扑 发 现 和 拓扑 示意 图 目 动 绘制 以 
及 事后 效果 的 分 析 和 改善 ， 最 终 实现 了 PDCA 的 最 佳 实践 ， 为 有 效 地 控制 网 络 设备 运行 
风险 起 到 很 好 的 效果 ， 提 供 网 络 运行 的 稳定 性 ， 记 录 网 络 设备 和 资源 的 使 用 情况 ， 保 证 
当前 网 络 的 高 效 性 。 

由 于 控制 平台 本 身 的 性 能 可 能 会 造成 风险 事件 在 采集 、 汇 集 、 分 析 、 展 示 等 不 同 阶段 的 
遗漏 和 误 判 ， 这 一 点 还 需要 按照 残余 风险 的 处 理 办 法 去 加 以 处 理 。 


B.1.2 终 站 流 量 异 第 风险 (12 个 风险 点 ) 


1. 风险 分 析 

(1) 风险 描述 

现在 的 业务 系统 都 严重 依赖 网 络 的 系统 ， 比 如 核心 业务 、 管 理 办 公 业 务 等 都 需要 运 
转正 常 的 网 络 基础 设施 来 支撑 。 一 旦 网 络 出 现 拥塞 ， 就 会 导致 网 络 带宽 不 足 ， 出 现 数据 
传输 速率 下 降 ， 从 而 给 业务 的 正常 运行 带 来 严重 风险 。 在 终端 联网 的 过 程 中 ， 个 别人 员 
违规 通过 迅雷 、BT 等 P2P 网 络 下 载 软件 、 在 线 播 放流 媒体 以 及 玩 网 络 游戏 ， 这 些 非 工 作 
流量 会 抢占 有 限 的 带宽 资源 ， 影 响 网 络 传输 性 能 ， 导 致 语音 和 视频 会 议 、OA、ERP 等 
业务 系统 运行 不 稳定 ; 男 外 ， 客 户 并 感染 蠕虫 病毒 也 会 造成 网 络 带 宽 鸭 占用 。 如 果 对 终 
端 流量 使 用 的 情况 包括 流量 大 小 、 发 包 数 、 连 接 数 等 流量 信息 不 及 时 监控 、 上 报 和 采取 
有 效 措施 ， 束 会 严重 威胁 业务 持续 有 效 的 运行 。 因 此 这 类 风险 的 可 知 、 可 控 、 可 管 十 分 
重要 。 

该 类 风险 主要 表现 在 于 以 下 3 个 方面 : 

1) 监控 缺失 风险 。 由 于 缺少 对 终端 发 送 和 接收 数据 包 的 数量 以 及 连接 数 的 监控 ， 就 会 
导致 关键 主机 的 保护 失控 的 风险 。 

2) 标准 基线 风险 。 由 于 事先 没有 对 终 问 的 正 凋 业务 流量 〈 连 接 数 )、 异 常 流量 〈 连 接 
数 ) 和 非法 流量 (连接 数 ) 做 出 仔细 分 析 得 出 流量 (连接 数 〉 的 白 名 单 ， 就 可 能 造成 无 法 有 
效 地 识别 终端 的 异常 流量 (连接 数 ) 从 而 不 能 有 效 监控 的 风险 。 

3) 控制 平台 本 身 风 险 。 出 现 了 异常 流量 (连接 数 )， 但 是 技术 措施 不 到 位 ， 不 能 及 时 、 
准确 地 处 理 ， 如 采取 告警 、 限 制 流量 和 连接 数 等 控制 措施 ， 实 现 有 效 监控 的 风险 。 

下 面 对 终 端 流 量 异 常 风险 进行 详细 的 分 解 : 

(2) 相关 风险 点 

终 剖 流量 异常 风险 点 详 见 表 B-3。 
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表 B-3 
风险 分 类 序号 风险 点 风险 属性 隐患 /风险 
没有 监控 终端 发 送 和 接收 数据 包 的 数量 
没有 监控 终端 并 发 连接 数 的 数量 


不 能 自动 识别 终端 的 P2P 下 载 行为 


没有 事先 对 实际 的 网 络 流量 按照 IP、 时 间 、 端 口 分 别 


统计 得 出 流量 的 白 名 单 


没有 事先 对 实际 的 网 络 流量 按照 IP、 时 间 、 端 口 分 别 
统计 得 出 连接 数 的 日 名 单 


yy 
终端 流量 异常 


白 名 单 策略 被 停止 或 被 删除 原生 风险 隐患 
号 到 发 现 白 名 单 策略 丢失 后 不 能 及 时 恢复 原生 风险 风险 


下 发 策略 与 菜 些 业务 冲突 原生 风险 风险 


终端 连接 数 过 大 但 不 能 控制 


终端 流量 过 大 但 不 能 控 于 


终端 的 P2P 下 载 行为 但 是 不 能 控 千 


以 下 将 分 别 从 资产 使 用 生命 周期 、 相 关 信 息 安 全 、 资 产 使 用 人 员 和 合 规 性 4 个 方面 对 以 
上 12 个 风险 点 进行 详细 描述 。 

(a) 基于 资产 使 用 生命 周期 分 析 

资产 使 用 生命 周期 包含 入 网 前 、 运 行 阶段 、 维 修 阶段 、 报 废 阶段 。 网 络 设备 运行 风险 按 
照 资 产 使 用 生命 周期 的 分 析 如 下 。 

风险 点 〈1-3): 涉及 资产 使 用 生命 周期 的 运行 阶段 。 如 果 缺 失 有 关 的 流量 异 间 的 监控 措 
施 ， 一 旦 网 络 出 现 拥 蹇 ， 囊 宽 下 降 ， 就 将 对 业务 的 正常 运行 带 来 严重 风险 ， 夯 外 如 果 缺 少 这 
类 监控 措施 ， 就 不 能 及 时 识别 和 控制 网 络 中 的 P2P 下 载 软件 ， 一 旦 出 现 病毒 蠕虫 也 不 能 及 时 
发 现 。 

风险 点 〈4-5): 涉及 入 网 前 、 运 行 阶 段 。 如 果 没 有 预先 了 解 当前 网 络 中 的 业务 情况 ， 包 
括 业 务 高 峰 周 期 、 每 天 的 业务 流量 峰值 、 每 个 终端 的 流量 模型 、 每 个 终端 基于 端口 的 流量 模 
型 ， 就 不 能 准确 地 了 解 网 络 的 态势 ， 建 立 基 于 实际 情况 的 并 按照 P、 时 间 、 端 口 的 连接 日 名 
单 ， 也 就 不 能 提供 当前 终端 流量 是 人 否 异 常 的 标准 ， 这 将 对 流量 异常 监控 带 来 风险 。 

风险 点 〈6-8): 涉及 运行 阶段 ， 如 果 不 能 对 所 有 的 终端 统一 下 发 流量 (连接 数 ) 的 日 名 
单 策 略 ， 势 必 造 成 流量 和 连接 数 异 第 监控 的 不 全 面 ， 造 成 遗漏 ， 如 果 不 能 及 时 发 现 流 量 〈 连 
接 数 ) 的 白 名 单 俩 略 停止 或 被 删除 的 情况 ， 或 者 及 现 了 不 能 及 时 恢复 ， 也 会 对 统一 的 安全 监 
控 环 境 市 来 监控 的 缺失 风险 。 

风险 点 〈9): 涉及 入 网 前 和 运行 阶段 。 如 果 在 入 网 前 没有 仔细 测试 下 发 策略 与 当前 业务 
的 兼容 性 ， 一 旦 加 载 可 能 给 业务 市 来 极 大 的 风险 ， 男 外 即使 在 入 网 前 已 经 测试 了 集 略 与 业务 
的 兼容 性 符合 ， 一 旦 业务 发 生 改 变 ， 也 有 可 能 与 打上 略 不 兼容 导致 业务 连续 性 风险 。 
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风险 点 (10-12): 涉及 运行 阶段 。 如 果 技 术 上 监控 有 关 流 量 或 连接 数 变化 的 技术 手段 性 
能 不 足 ， 不 能 及 时 发 现 所 有 的 违规 ， 或 者 不 能 对 所 有 的 违规 及 时 告警 或 处 理 ， 造 成 安全 策略 
执行 不 到 位 ， 将 会 给 业务 带 来 极 大 的 安全 隐患 。 

(b) 基于 相关 信息 安全 关系 分 析 

相关 信息 安全 分 为 在 线 信 息 风 险 和 存储 信息 风险 ， 终 端 法 量 异常 风险 按照 相关 信息 安全 
关系 的 分 析 如 下 。 

风险 点 (1-3): 如 果 缺 失 有 关 的 流量 异常 的 监控 措施 ， 一 旦 网 络 出 现 拥塞 ， 带 宽 下 降 ， 
必 将 造成 业务 运行 中 的 在 线 信 息 风 险 和 存储 信息 风险 。 

风险 点 (4-5): 如 果 不 能 建立 基于 实际 情况 的 并 按照 耻 、 时 间 、 端 口 的 连接 白 名 单 ， 也 
就 不 能 提供 当前 终端 流量 是 否 异常 的 标准 ， 这 将 对 流量 异常 监控 带 来 风险 ， 必 将 造成 业务 运 
行 中 的 在 线 信息 风险 和 存储 信息 风险 。 

风险 点 (6-9): 如 果 没 有 一 套 闭 环 的 ， 从 下 发 、 监 控 到 恢复 一 系列 的 策略 的 监控 机 制 |， 
并 且 能 够 发 现 策略 与 业务 的 兼容 性 ， 可 能 会 造成 在 线 信息 风险 和 存储 信息 风险 。 

风险 点 (10-12): 如 果 管 理 平台 的 技术 能 力 不 够 ,不 能 及 时 发 现 所 有 的 违规 ， 或 者 不 能 
对 所 有 的 违规 及 时 告警 或 处 理 ， 造 成 安全 策略 执行 不 到 位 。 将 会 给 业务 带 来 在 线 信息 风险 和 
存储 信息 风险 。 

Ce>》 基于 资产 使 用 大 分 析 

资产 〈 终 端 ) 使 用 人 包括 内 部 人 员 、 临 时 人 员 和 外 部 人 员 3 大 类 ， 而 内 部 人 员 可 以 再 细 
分 为 高 级 管理 者 ， 关 键 业 务 人 员 和 网 络 管理 人 3 种 角色 ， 临 时 人 员 主 要 是 辅助 人 员 岗 位 (如 
食堂 、 车 队 、 绿 化 等 人 员 )， 而 外 部 人 员 包 括 外 来 厂商 运 维 人 员 和 系统 内 外 来 人 员 。 终 端的 
使 用 者 因为 不 同 的 角色 和 不 同 的 操作 意图 ， 一 个 相同 的 风险 点 对 应 不 同 映 份 的 终 病 使 用 人 其 
风险 级 别 也 不 同 。 将 终端 流量 异常 风险 按照 终端 使 用 人 和 角色 分 析 如 下 。 

风险 点 (1-3): 任何 岗位 角色 都 会 使 用 网 络 ， 并 涉及 终端 违规 网 络 访问 风险 问题 ， 
此 ， 该 风险 与 内 部 人 员 相 关 : 

a) 高 级 管理 岗位 ， 如 区 域 负责 人 等 高 层 领导 ， 风 险 不 大 。 

b) 地 市 部 门 主 管 、 网 络 管理 员 、 配 置 管理 员 、 系 统管 理 员 、 财 务 部 人 员 等 关键 岗位 业 
务 人 员 ， 风 险 较 大 。 

c) 网 络 管理 员 等 。 

该 风险 也 与 临时 人 员 相 关 : 辅助 人 员 疯 位 《〈 如 食 尝 、 车 队 、 绿 化 等 人 员 等 )， 可 能 利用 
网 络 下 载 游 戏 ， 观 看 网 络 视频 ， 造 成 带宽 拥堵 ， 其 风险 重大 。 

该 风险 与 外 来 人 员 相关 : 外 来 三 家 人 员 、 特 别 是 外 来 维护 人 员 网 络 知识 丰富 ， 也 有 可 能 
利用 内 部 网 络 下 载 资料 ， 造 成 流量 异常 ， 其 风险 重大 。 

风险 点 〈4-$): 内 部 人 员 在 使 用 网 络 时 ， 必 须 对 其 正常 的 网 络 应 用 流量 做 出 详细 的 了 
解 ， 作 出 正常 的 流量 基线 ， 否 则 ， 无 法 判断 其 流量 是 否 属于 异常 ， 从 而 不 能 进行 有 效 控 制 ; 
重点 需要 了 解 高 级 管理 岗位 ， 如 区 域 负 责 人 等 高 层 领导 的 流量 情况 和 地 市 部 门 主管 、 网 络 管 
理 员 、 配 置 管理 员 、 系 统管 理 员 、 财 务 部 人 员 等 关键 岗位 业务 人 员 的 流量 情况 。 而 对 于 临时 
人 员 和 外 部 人 员 ， 因 无 法 事先 作出 基线 ， 风 险 较 大 。 

风险 点 (6-8): 对 于 高 级 管理 岗位 ， 如 区 域 负责 人 等 高 层 领导 的 流量 策略 需要 重点 保 
证 ， 一 旦 策略 不 能 及 时 有 效 下 发 ， 或 不 能 了 解 当 前 策略 是 否 有 效 ， 束 会 造成 重要 业务 不 能 及 
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时 审批 ， 给 业务 的 有 效 性 造成 风险 ， 对 于 地 市 部 门 主管 、 网 络 管理 员 、 配 置 管理 员 、 系 统管 
理 员 、 财 务 部 人 员 等 关键 岗位 业务 人 员 ， 一 旦 策略 不 能 生效 或 与 业务 冲突 ， 就 会 对 业务 造成 
风 \| 仿 。 

风险 点 (9); 该 风 险 对 于 高 级 管理 岗位 较 大 ， 一 旦 策略 与 领导 的 业务 冲突 ， 导 致 不 能 
网 ， 必 然 给 业务 带 来 严重 风险 ， 当 然 这 个 风险 也 会 给 内 部 管理 人 员 如 地 市 部 门 主管 、 网 络 管 
理 员 、 配 置 管理 员 、 系 统管 理 员 、 财 务 部 人 员 等 关键 岗位 业务 人 员 的 业务 带 来 威胁 ， 这 个 风 
险 与 临时 人 员 和 外 来 人 员 的 风险 级 别 不 大 。 

风险 点 (10-12)， 这 个 风险 主要 跟 临 时 人 员 和 外 来 人 员 有 关 ， 一 旦 发 现 辅助 人 员 岗 位 ， 
如 食堂 、 车 队 、 绿 化 等 人 员 等 ， 可 能 利用 网 络 下 载 游戏 ， 观 看 网 络 视频 ， 造 成 带宽 拥堵 的 情 
况 ， 要 首先 采用 技术 措施 去 限制 其 利用 带宽 流量 ， 一 旦 技术 措施 失效 ， 可 能 对 内 部 网 络 运行 
带 来 失控 ， 给 业务 带 来 较 大 的 风险 。 

Cd) 合 规 性 要 求 

合 规 性 要 求 见 表 B-4。 


表 B-4 


7.1.2.2 访问 控制 (G3) 
b) 应 能 根据 会 话 状态 信息 为 数据 流 提供 明确 的 允许 /拒绝 访问 的 能 


1 网 络 安 全 力 ， 控 制 粒度 为 端口 级 符合 
e) 应 限制 网 络 最 大 流量 数 及 网 络 连接 数 
h) 应 限制 具有 拨号 访问 权限 的 用 户 数 量 
7.1.2.3 安全 审计 (G3) 

2 网 络 安 全 应 对 网 络 系统 中 的 网 络 设备 运行 状况 、 网 络 流量 、 用 户 行为 等 进行 日 | 符合 


志 记 录 


2. 风险 管控 

每 类 风险 在 管控 过 程 中 ， 针 对 风险 的 事前 、 事 中 和 事后 3 种 状态 进行 监控 ， 做 到 事前 预 
防 ， 事 中 控制 、 事 后 审计 追查 。 下 面 风险 管控 处 理 流程 ， 尽 量 从 事前 、 事 中 和 事后 3 方面 对 
风险 管控 进行 描述 

(1) 风险 点 (1-3): 终端 流量 异常 监控 缺失 风险 

事前 处 置 : 对 于 类 似 风 险 ， 需 要 制定 一 系列 的 管理 措施 ， 如 《网 络 安全 管理 制度 》， 其 
中 需要 针对 现 有 终端 按照 不 同 的 使 用 角色 做 出 不 同 的 带宽 策略 ， 包 括 内 部 高 级 管理 员 、 关 键 
岗位 业务 人 员 、 外 部 三 家 人 员 、 临 时 人 员 4 种 角色 策略 。 

事 中 处 置 : 加 载 策 略 后 ， 需 要 定期 轮 询 终端 网 卡 流量 ， 发 现 是 否 存在 终端 流量 异常 。 一 
旦 发 现 异 常 ， 需 要 及 时 报警 。 可 以 通过 技术 手段 解决 ， 上 报 管理 中 心 或 由 管理 员 根据 当时 影 
啊 业 务 的 重要 情况 决定 采用 是 否 及 时 阻 断 占 用 带宽 的 终端 ， 或 在 终端 桌面 上 弹出 警告 提示 信 
尽 等 措施 。 

事后 处 置 一 旦 技术 手段 采取 后 无 法 取得 效果 ， 或 人 工 发 现 技术 手段 已 经 失效 ， 需 要 通过 人 
工 流程 去 加 以 干涉 。 安 全 主管 根据 实际 情况 启动 应 急流 程 ， 通 过 管理 和 人 工 的 办 法 消 强风 险 。 

控制 流程 见 图 B-6。 
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制定 完善 《设备 
根据 不 同 的 业务 管理 制度 》 


ST 制定 完善 《安全 监控 
sh 确定 流量 基线 管理 制度 》 
ee 制定 完善 《网 络 安全 


管理 制度 》 


八 
ti 
入 
六 
岂 
V 


网 卡 流量 记录 | 管理 平台 监控 分 析 


访问 日 志 记 录 i 


正 般 


调整 基线 


< 事 中 阶段 > 


审计 评估 
进入 下 一 个 循环 
完善 策略 


事后 阶段 > 


We 


图 B-6 


(2) 风险 点 〈4-5): 终端 流量 异常 基线 风险 

事前 处 置 : 通过 事先 建立 的 网 络 流量 监控 机 制 ， 以 不 同 的 业务 为 中 心 ， 来 了 解 内 部 各 个 
终端 的 正常 的 业务 流量 ， 即 建立 符合 业务 特色 的 流量 管理 制度 ， 制 定 不 同 角 色 不 同业 务 终端 
的 正音 的 带宽 流量 标准 。 通 过 这 类 流量 基线 ， 建 立 流 量 策略 。 

事 中 处 置 : 通过 网 络 流 量 监控 机 制 ， 定 期 评估 当前 的 带宽 策略 是 否 符合 当前 的 业务 情 
况 、 是 人 否 会 影响 业务 的 正常 进行 、 是 否 符合 不 同 的 角色 情况 、 是 否 符合 不 同 的 时 间 段 正常 业 
务 的 变化 情况 ， 根 据 这 些 要 系 ， 及 时 调整 策略 。 

事后 处 置 : 对 于 该 类 风险 ， 需 要 按照 有 关 管 理 制 度 和 流程 ， 定 期 审计 评估 ， 找 出 造成 兼 
容 性 的 原因 ， 尽 量规 避 直 至 消除 ， 把 因 人 策略 的 因 系 导致 业务 的 影响 降 到 可 以 接受 的 范围 。 

控制 流程 见 图 B-7。 


187 


RS 终端 安全 风险 管理 


端 流 量 异 党 监控 基线 风险 


初步 确定 内 部 高 制定 完善 《设备 
级 管理 员 、 关 键 管理 制度 》 
岗位 业务 人 员 、 制定 完善 《安全 监控 
外 部 厂家 人 员 、 管理 制度 》 
临时 人 员 4 种 制定 完善 《网 络 安全 
角色 流量 管理 制度 》 


和 
到 K 
3 
坑 
V 


网 卡 流 量 记 录 | 


< 事 中 阶段 > 


事后 阶段 > 


< 


图 B-7 

(3) 风险 点 (6-12): 终端 流量 异常 控制 风险 

事前 处 置 : 收集 终端 流量 信息 ， 定 义 终端 流量 的 正常 边界 和 连接 黑白 名 单 。 需 要 制定 有 
关 的 应 急 啊 应 预案 ， 一 旦 出 现 策略 不 能 及 时 更 新 而 技术 手段 无 法 实现 时 需要 启动 。 

事 中 处 置 : 通过 分 析 实 时 的 通信 日 志 ， 来 确认 集 略 是 否 已 经 得 到 更 新 ， 及 时 了 解 流 量 和 
连接 数 白 名 单 策 略 已 经 得 到 更 新 ， 或 者 及 时 发 现 流 量 和 连接 数 白 名 单 策略 停止 和 被 删除 ， 或 
者 了 解 流量 和 连接 数 白 名 单 策略 与 某 些 业务 是 否 冲突 ; 如果 在 规定 的 时 间 内 得 不 到 反馈 信 
恩 ， 需 要 局 动 应 急 预 案 。 

一 旦 出 现 集 略 与 业务 的 兼容 性 问题 ， 就 需要 有 远 生 机 制 ， 即 通过 人 人工 纯 载 人 策略， 确保 业 
务 的 顺利 进行 。 
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事后 处 置 ， 一 旦 前 面 的 技术 手段 都 失效 ， 就 需要 在 安全 主管 的 认可 下 启动 应 急 预 案 。 首 
先 在 确保 业务 顺利 进行 的 前 提 下 ， 人 工 在 本 地 更 新 或 卸载 策略 。 在 此 基础 上 再 考虑 其 他 问 
题 ， 如 策略 不 能 更 新 的 故障 原因 、 涉 及 的 部 门 和 人 员 、 造 成 问题 的 是 平台 本 身 的 性 能 原因 还 
是 其 他 问题 ， 这 些 问题 是 否 在 管理 制度 中 做 出 了 相关 规定 ， 是 否 需要 完善 或 补充 等 。 

控制 流程 见 图 B-8。 


< 事前 阶段 > 


终端 访问 与 某 些 业务 是 
日 志 否 冲 


< 事 中 阶段 > 


荣 上 略 
?得 到 及 时 
| 
逃生 机 制 


人 工 处 理 并 完善 
相关 制度 和 预案 


《< 事后 阶段 > 


3. 风险 控制 效果 
对 于 此 类 风险 涉及 的 终端 流量 异常 风险 ， 通 过 采取 管理 、 规 范 、 流 程 、 技 术 不 同 的 措 
施 ， 分 别 从 事前 、 事 中 、 事 后 3 个 方面 来 加 以 控制 ， 可 以 基本 达到 风险 管控 的 目的 。 
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通过 事前 对 不 同 角 色 的 用 户 ， 不 同时 间 的 业务 所 需要 的 带宽 调查 ， 逐 步 建立 标准 流量 基 
线 ， 事 中 根据 这 个 基线 进行 监控 和 事后 效果 的 分 析 和 改善 ， 实 现 了 PDCA 的 最 佳 实践 ， 为 有 
效 控 制 网 络 流量 异常 风险 达到 了 效果 。 事 后 通过 日 志 审 计 ， 可 以 查找 风险 源 ， 追 溯 到 终端 责 
任 人 ， 可 以 给 后 续 的 考评 管理 提供 依据 。 

由 于 控制 平台 本 身 的 性 能 可 能 会 造成 风险 事件 在 采集 、 汇 集 、 分 析 、 展 示 等 不 同 阶段 的 
遗漏 和 误 判 ， 可 能 给 业务 带 来 风险 ， 需 要 根据 可 能 出 现 的 场景 ， 如 策略 与 业务 冲突 ， 定 制 的 
技术 处 理 手段 失灵 等 ， 制 定 应 急 预 案 并 做 定期 演练 ， 以 确保 业务 的 连续 性 和 可 靠 性 。 

B.1.3 终端 违规 网 络 访问 风险 (11 个 风险 点 ) 

1. 风险 分 析 

(1) 风险 描述 

网 络 通信 是 现今 基于 信息 化 业务 的 基础 。 由 于 担心 业务 不 能 顺利 开展 ， 一 般 对 内 部 终端 
的 访问 不 做 控制 ， 这 样 就 导致 内 部 终端 能 随时 随意 访问 本 不 应 该 访问 的 资源 ， 出 现 扫 描 端 
口 、 嗅 探 密码 等 黑客 行为 。 如 果 不 对 该 终端 网 络 访问 风险 进行 严格 管理 和 控制 ， 将 会 导致 信 
息 外 泄 、 资 源 滥用 甚至 全 网 范围 内 的 灾难 性 事件 。 

该 类 风险 主要 表现 在 因 终 端 网 络 访问 缺少 有 关 卫 、 端 口 、 协 议 的 管理 制度 、 流 程 和 技术 监 
控 ， 造 成 终端 网 络 访问 的 无 序 。 另 外 尽管 增加 了 了 下、 端口 、 协 议 的 黑白 名 单 ,但 是 没有 及 时 更 新 
完善 访问 策略 ， 造 成 应 该 允许 的 访问 不 能 进行 ， 给 业务 开展 带 来 风险 。 由 此 带 来 4 类 问题 : 

1) 没有 终端 访问 的 卫 、 端 口 、 协 议 范围 ， 这 将 会 导致 关键 主机 的 保护 失控 的 风险 。 

2) 存在 终端 访问 的 全 、 端 口 、 协 议 限定 策略 ， 但 是 由 于 策略 本 身 没有 及 时 更 新 完善 ， 
导致 不 能 正常 开展 业务 ， 这 是 用 户 十 分 担心 的 风险 。 

3) 加 载 的 策略 没有 生效 ， 或 被 卸载 ， 导 致 安全 策略 不 能 有 效 贯 彻 ， 将 导致 内 部 网 络 运 
行 失控 的 风险 。 

4) 违规 访问 记录 没有 及 时 发 送 给 管理 平台 ， 或 者 管理 平台 不 能 及 时 处 理 如 采取 告警 ， 
阻 断 等 控制 措施 。 

下 面 将 对 终端 违规 使 用 风险 进行 详细 的 分 解 : 

(2) 相关 风险 点 


终端 违规 网 络 访问 风险 点 见 表 B-5。 


终 
端 
违 
见 AI、 -HP EE 、 
人 新 完善 导致 终端 访问 的 下 范围 与 限定 的 不 一 至 
络 时 更 新 完善 导致 终端 访问 的 端口 范 
访 导 
善 导致 终端 访问 使 用 的 协议 与 限定 的 不 一 致 
险 

昌平 台 发 现 了 上 还 违 规 的 终端 网 络 访问 行为 ， 但 是 不 能 对 所 有 的 违规 

、 告警 或 处 理 
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以 下 将 分 别 从 资产 使 用 生命 周期 、 相 关 信 息 安全 、 资 产 使 用 人 员 和 合 规 性 4 个 方面 对 
以 上 11 个 风险 点 进行 详细 描述 。 

(a) 基于 资产 使 用 生命 周期 分 析 

资产 使 用 生命 周期 包含 入 网 前 、 运 行 阶段 、 维 修 阶段 、 报 废 阶 段 ， 终 端 违规 网 络 访 问 风 
险 按照 资产 使 用 生命 周期 的 分 析 如 下 : 

风险 点 (1-4): 涉及 资产 使 用 生命 周期 的 运行 阶段 ， 如 果 一 台 没 有 作 任 何 访问 控制 的 终 
端 遭 到 僵尸 木马 的 入 侵 ， 成 为 外 部 控制 的 僵尸 ， 它 就 会 成 为 外 部 攻击 内 部 的 桥头 储 ， 内 部 所 
有 机 器 的 脆弱 性 都 会 被 其 利用 ， 内 部 单位 机 密 信 息 甚至 国家 机 密 信 息 都 遭 到 极 大 威胁 。 著 名 
的 conficker 病毒 就 是 这 类 例子 ;涉及 维修 阶段 ， 如 果 在 维修 以 后 的 访问 控制 策略 被 删除 ， 
可 能 再 次 入 网 后 对 内 部 安全 带 来 风险 。 

风险 点 (5-8): 涉及 入 网 前 阶段 ， 在 该 阶段 需要 对 业务 行为 进行 分 析 ， 形 成 策略 并 逐步 细 
化 ， 如 果 我 们 加 载 的 访问 控制 策略 没有 充分 验证 测试 ， 可 能 导致 业务 不 能 顺利 进行 的 严重 风险 ; 
涉及 运行 阶段 ， 由 于 业务 改变 ， 涉 及 的 卫 、 端 口 、 协 议 信息 也 相应 发 生 了 改变 ， 如 果 加 载 的 
策略 没有 及 时 变化 ， 就 会 导致 业务 不 能 顺利 进行 的 严重 风险 ; 涉及 维修 阶段 ， 如 果 在 维修 以 
后 的 访问 控制 策略 被 修改 ， 也 会 导致 再 次 入 网 后 业务 不 能 顺利 进行 的 严重 风险 。 

风险 点 〈9): 涉及 入 网 前 、 运 行 阶段 、 维 修 阶段 ， 一 旦 策略 被 无 意 或 恶意 缀 载 导致 失 
效 ， 而 管理 平台 不 能 及 时 发 现 ， 势 必 导 致 安全 策略 不 能 有 效 贯 彻 ， 将 导致 内 部 网 络 运 行 失 控 
的 风险 。 

风险 点 (10-11): 涉及 运行 阶段 ， 如 果 监 控 有 关 地 址 、 端 口 和 协议 变化 的 技术 手段 的 性 
能 不 足 ， 不 能 及 时 发 现 所 有 的 违规 ， 或 者 不 能 对 所 有 的 违规 及 时 告警 或 处 理 ， 就 造成 安全 策 
上 略 执 行 不 到 位 ， 给 业务 带 来 极 大 的 安全 隐患 。 

(b) 基于 相关 信息 安全 关系 分 析 

相关 信息 安全 分 为 在 线 信息 风险 和 存储 信息 风险 ， 终 端 违规 网 络 访问 风险 按照 相关 信息 
安全 关系 的 分 析 如 下 。 

风险 点 〈1-4): 对 网 络 的 威胁 极 高 ， 可 能 遭 到 攻击 、 成 为 僵尸 和 信息 外 泄 的 风险 ， 在 线 
言 息 系统 和 存储 信息 系统 由 于 涉及 重要 信息 和 数据 ， 往 往 对 于 安全 要 求 较 高 ， 因 此 使 在 线 信 
息 系 统 、 存 储 信息 系统 存在 风险 。 

风险 点 (5-8): 由 于 加 载 策略 和 实际 的 业务 情况 不 匹配 ， 不 能 及 时 访问 在 线 信 息 系 统 ， 
存储 信息 系统 也 不 能 及 时 更 新 ， 因 此 使 在 线 信息 系统 、 存 储 信 息 系 统 存 在 风险 。 

风险 点 (9):; 对 网 络 的 威胁 极 高 ， 可 能 遭 到 攻击 、 成 为 僵尸 和 信息 外 泄 的 风险 ， 因 此 使 
在 线 信 息 系 统 、 存 储 信息 系统 存在 风险 。 

风险 点 〈10-11): 由 于 技术 能 力 不 足 ， 不 能 及 时 、 充 分 获取 终端 违规 网 络 访问 风险 事 
件 ， 按 照 当前 的 业务 及 时 调整 策略 并 下 发 ， 同 时 做 出 及 时 的 告警 、 阻 断 等 处 理 措施 ， 因 此 使 
在 线 信息 系统 、 存 储 信息 系统 存在 风险 。 

(ce) 基于 资产 使 用 人 分 析 

资产 (终端 ) 使 用 人 包括 内 部 人 员 、 临 时 人 员 和 外 部 人 员 3 大 类 ， 而 内 部 人 员 可 以 再 细 
分 为 高 级 管理 者 、 关 键 业 务 人 员 和 网 络 管理 人 3 种 角色 ， 临 时 人 员 主 要 是 辅助 人 员 岗 位 (如 
食堂 、 车 队 、 绿 化 等 人 员 )， 而 外 部 人 员 包 括 外 来 厂商 运 维 人 员 和 系统 内 外 来 人 员 。 终 端的 
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险 级 别 也 不 同 。 将 终端 违规 网 络 访问 风险 按照 终端 使 用 人 角色 分 析 如 下 。 

风险 点 〈1.4)， 任何 岗位 角色 都 会 使 用 网 络 ， 都 会 涉及 终端 违规 网 络 访问 风险 问题 ， 因 
此 ， 该 风险 与 内 部 人 员 相关 : 

a) 高 级 管理 岗位 ， 如 区 域 负责 人 等 高 层 领导 ， 风 险 不 大 。 

b) 地 市 部 门 主管 、 网 络 管理 员 、 配 置 管理 员 、 系 统管 理 员 、 财 务 部 人 员 等 关键 岗位 业 
务 人 员 ， 风 险 较 大 。 

c) 网 络 管理 员 ， 风 险 较 大 ， 

该 风险 与 临时 人 员 相关 ， 辅助 人 员 岗 位 ， 如 食堂 、 车 队 、 绿 化 等 人 员 等 ， 风 险 重大 。 

该 风险 与 外 来 人 员 ， 外 来 厂家 人 员 、 外 来 维护 人 员 风 险 重大 。 

风险 点 (5-8); 对 于 内 部 人 员 ， 特 别 是 高 级 管理 者 ， 风 险 一 旦 导致 不 能 及 时 正常 审批 业 
务 势必 造成 严重 影响 ， 而 对 于 关键 业务 和 网 络 管理 人 员 ， 他 们 可 能 面 对 的 风险 是 不 能 及 时 开 
展业 务 ， 影 响 工作 绩效 ， 对 于 临时 人 员 其 风险 不 大 。 不 过 对 于 外 来 人 员 因为 需要 通过 网 络 做 
一 些 维护 和 业务 的 操作 ， 其 风险 程度 与 内 部 人 员 中 的 关键 业务 和 网 络 管理 人 员 的 风险 程 
度 相当 。 

风险 点 〈9)， 对 于 内 部 人 员 ， 这 个 风险 对 于 内 部 人 员 中 的 网 络 管理 人 员 来 说 风险 极 大 ， 
可 能 导致 安全 策略 不 能 有 效 贯彻 ， 将 导致 内 部 网 络 运行 失控 的 风险 ， 对 于 外 来 人 员 特别 是 厂 
家 维护 人 员 同 样 需要 涉及 相同 的 风险 ， 同 样 对 于 临时 人 来 说 也 要 涉及 相同 的 风险 。 

风险 点 (10-11): 对 于 内 部 人 员 ， 特 别 内 部 人 员 中 的 网 络 管理 人 员 来 说 如 果 不 能 及 时 知 
晓 他 们 的 行为 ， 并 对 可 能 出 现 的 恶意 网 络 行为 做 及 时 告警 和 阻止 ， 势 必 对 网 络 的 正常 运行 带 
来 较 大 风险 ， 对 于 外 部 人 员 ， 特 别 是 厂家 维护 人 员 同 样 存在 相同 的 风险 ， 对 于 临时 人 来 说 也 
存在 相同 的 风险 。 

(Cd) 合 规 性 要 求 

合 规 性 要 求 见 表 B-6。 


表 B-6 


7.1.2.2 ”访问 控制 (G3) 


进行 日 志 记 录 


1 安全 审计 应 对 网 络 系统 中 的 网 络 设备 运行 状况 、 网 络 流量 、 朋 


2， 风 险 管控 

每 类 风险 在 管控 过 程 中 ， 需 要 针对 风险 的 事前 、 事 中 和 事后 3 种 状态 进行 监控 ， 做 到 事 
前 预防 、 事 中 控制 、 事 后 审计 追查 。 下 面 风 险 管控 处 理 流程 ， 尽 量 从 事前 、 事 中 和 事后 3 方 
面 对 风 险 进 行 管控 。 

(1) 风险 点 (1-4):; 终端 网 络 访问 缺失 访问 策略 的 风险 

事前 处 置 首先 能 够 了 解 当前 的 网 络 态势 ， 做 出 足够 详细 的 不 同 网 络 业 务 的 访问 基线 ， 
那么 在 后 续 的 实际 操作 中 就 可 以 逐步 完善 这 些 策略 。 这 就 是 网 络 访问 的 “规矩 ” 

把 收集 到 的 防火 墙 日 志 数据 按照 用 户 关心 的 业务 及 相关 资产 来 分 类 ， 然 后 按照 一 定 的 步 
长 〈 小 时 、 分 钟 ) 来 统计 ， 找 出 每 小 时 的 连接 ， 确 定 内 部 终端 的 网 络 访问 特征 ， 即 它 一 般 每 
天 访问 哪些 IP， 它 是 否 会 被 其 他 终端 访问 等 。 
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对 于 每 一 个 需要 关注 的 终端 对 象 ， 需 要 按照 一 定 的 时 间 步 长 〈lh) 进行 以 下 持续 的 统计 : 
v 作为 源 地 址 访问 的 所 有 目的 地 址 列表 〈Fan Out) 

v 作为 源 地 址 的 所 有 目的 端口 (协议 ) 列表 

v 作为 目的 地 址 的 所 有 源 地 址 列表 (Fan In) 

v 作为 目的 地 址 的 所 有 源 端口 列表 

v 相互 通信 列表 (a 与 b 的 交集 ) 

将 上 面 的 统计 结果 按照 资产 排序 ， 找 出 不 同 的 TOPN， 将 本 期 的 TOPN 与 前 一 期 的 


TOPN 记录 比较 发 现 变 化 。 


通过 这 个 过 程 ， 一 台 机 器 的 网 络 行 为 模型 就 基本 建 六 ， 这 样 就 可 以 回答 用 户 关 心 的 如 下 


问题 : 


Vv 某 一 天 访问 了 哪些 地 址 ， 与 每 天 访问 的 地 址 列表 中 的 地 址 ( 白 名 单 ) 相似 度 是 多 
少 ， 这 些 不 同 的 地 址 是 否 属 于 恶意 地 址 ( 黑 名 单 ) 

v 这 些 地 址 是 否 属于 整个 内 部 大 的 日 名 单 ? 是否 确定 需要 更 新 名 单 ( 黑 日 ) 

v 通过 整理 内 部 所 有 机 器 的 访问 目的 地 址 列表 ， 找 出 交集 ， 形 成 了 内 部 大 的 目的 地 址 
白 名 单 

v 通过 整理 所 有 的 不 同 地 址 的 目的 端口 列表 ， 来 确定 内 部 目的 端口 (服务 日 名 单 

事 中 处 置 : 对 终端 上 内 藤 防 火 墙 组 件 ， 结 合 前 面 制 定 的 访问 控制 策略 ， 加 载 内 抠 防 火 墙 


策略 ， 防 火 墙 策略 应 该 有 以 下 的 全 局 内 容 : 


上 略 古 


VY 防火 墙 应 该 是 绿灯 模式 〈 白 名 单 )， 即 只 有 策略 明确 允许 的 通信 才 可 以 放行 ， 默 认 货 
略 是 茶 

w 防火墙 上 应 该 有 本 终端 允许 访问 的 服务 器 地 址 列表 

v 防火 墙 上 应 该 有 本 终端 允许 访问 的 服务 器 协议 和 端口 列表 

v 防火 墙 上 应 该 有 人 允许 访问 本 终端 的 的 其 他 终端 地 址 列表 

w 防火 墙 上 应 该 有 访问 时 间 段 定义 ， 如 工作 时 间 、 特 殊 业 务 时 间 

w 防火 墙 所 有 和 集 略 应 该 可 以 记录 日 志 。 这 些 日 志 如 果 正 常 联网 就 发 送 给 管理 中 心 ， 如 
果 漫 游 日 志 信 息 要 记录 在 本 地 特殊 的 文件 夹 中 

v 这 个 防火 墙 服务 终端 用 户 不 能 凤 载 

vv 〈 可 选 ) 还 应 该 有 允许 的 带宽 策略 ， 其 他 应 用 人 上 略 

事后 处 置 : 管理 平台 上 可 以 得 到 详细 的 管理 日 志 ， 通 过 分 析 日 志 ， 可 以 了 解 到 当前 的 集 

人 否 有 效 ， 和 是 否 对 业务 有 影响 ， 然 后 根据 这 些 日 志 分 析 的 结果 去 完善 更 新 策略 。 

v 对 于 关键 业务 人 员 ， 需 要 对 其 访问 的 对 象 地 址 、 访 问 时 间 以 及 协议 做 细致 的 控制 ， 
做 行为 审计 记录 

v 对 于 网 络 管理 人 员 ， 由 于 其 实际 权限 极 大 ， 一 旦 被 利用 ， 对 整个 网 络 环境 的 风险 极 
高 ， 因 此 必须 通过 管理 手段 加 以 管理 ， 并 做 行为 审计 记录 

v 对 于 临时 人 员 入 网 ， 由 于 其 安全 状态 不 合 规 而 安全 防护 措施 不 足 ， 造 成 被 攻击 并 作 
为 系统 薄弱 点 成 为 攻击 跳板 ， 因 此 需要 对 其 网 络 行为 做 细致 的 审计 

v 对 于 外 来 人 员 入 网 ， 特 别 是 需要 进入 业务 系统 的 外 来 厂商 运 维 人 员 ， 应 该 严格 执行 
有 关 管 理 制 度 ， 杜 绝 目 市 移动 PC 设备 入 网 ， 只 能 使 用 业务 终端 入 网 。 在 该 终 剖 上 临 
时 开局 访问 策略 ， 严 格 限制 其 访问 的 对 象 地 址 、 访 问 时 间 以 及 协议 ， 并 进行 严格 的 
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行为 审计 
控制 流程 见 图 B-9。 
终 喘 网 络 访问 缺失 访问 策略 的 风险 
终端 使 用 者 


< 事前 阶段 > 


根据 有 关 管 理 制度 ， 制定 完善 《设备 
et 管理 制度 》 
络 行为 ， 为 建 卫 | 定 ar 要 本 大 太 
不 同 角 名 不 同业 务 终 | 
端的 基本 网 络 行为 基 人 
线 ， 在 基线 的 基础 上 , | | | 制定 完善 《网 络 安全 
制定 策略 管理 制度 》 
续 调整 完善 防火 墙 
策略 制定 有 关 IP 端口 
协议 黑白 名 音 
管理 平台 
监控 分 析 
党 


图 B-9 


(2) 风险 点 〈3-8): 终端 网 络 访问 策略 没有 及 时 更 新 的 风险 


EE 事后 阶段 > < 事 中 阶段 > 


事前 处 置 : 定义 与 业务 相关 的 网 络 访问 策略 ， 并 且 根 据 实 际 情况 实时 更 新 和 维护 。 需 要 
制定 有 关 的 应 急 啊 应 预案 ， 一 旦 策略 不 能 及 时 更 新 而 技术 手段 无 法 实现 时 就 需要 司 动 。 

事 中 处 置 : 通过 分 析 实 时 的 通信 日志， 来 确认 人 策略 是 人 否 已 经 得 到 更 新 。 需 要 有 一 种 技术 
机 制 能 够 定期 更 新 策略 ， 如 果 在 规定 的 时 间 内 得 不 到 反馈 信息 ， 则 需要 局 动 应 急 预 案 。 

事后 处 置 : 一 旦 前 面 的 技术 手段 都 失效 ， 就 需要 在 安全 主管 的 认可 下 局 动 应 急 预案 。 首 
先 在 确保 业务 顺利 进行 的 前 担 下 ， 人 工 在 本 地 更 新 策略 ， 在 此 基础 上 再 考虑 其 他 问题 ， 如 策 
略 不 能 更 新 的 故 隐 原因 、 涉 及 的 部 门 和 人 员 ， 造 成 问题 的 是 平台 本 身 的 性 能 原因 还 是 其 他 问 
题 ， 这 些 问题 是 否 在 管理 制度 中 做 出 了 相关 规定 ， 是 否 需要 完善 或 补充 等 。 
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控制 流程 见 图 B-10。 


二 终端 网 络 访问 策略 没有 及 时 更 新 的 风险 
了 系统 管理 员 
终端 使 用 者 (测试 人 员 ) 
终端 反馈 机 制 加 


完善 终端 反馈 


< 事前 阶段 > 


有 管理 平台 实时 监控 


me 策略 
终端 访问 是 否 已 经 得 到 
日 志 更 新 


了 
加 载 次 数 已 经 达 
到 限度 


图 B-10 


(3) 风险 点 《9) 终端 网 络 访问 集 略 失效 禁用 或 说 凶 载 的 风险 

事前 处 置 : 完善 技术 机 制 ， 尽 可 能 确保 从 终端 上 不 能 印 载 访问 策略 ， 同 时 终端 跟 平台 之 
间 也 要 有 一 个 定期 的 通信 机 制 ， 来 确认 终端 的 网 络 访问 策略 存在 并 生效 。 

事 中 处 置 : 管理 平台 定期 轮 询 客 户 并 的 有 关 软 件 是 否 正常 运行 ， 一 旦 发 现 异 第 ， 需 要 采 
取 系 列 手段 来 应 对 : 

1) 通过 客户 端 发 送 通知 信息 。 

2) 给 该 客户 端 所 有 人 “用 户 ) 发 送 通知 邮件 。 

3) 如 采 在 规定 的 时 间 内 没有 得 到 回应 ， 则 管理 员 需 要 通过 电话 再 跟 该 该 客户 端 所 有 人 
联系 ， 了 解 具 体 情 况 。 


< 事 中 阶段 > 


人 工 处 理 并 完善 
相关 制度 和 预案 


事后 阶段 > 


< 


攻 
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4) 直至 通过 管理 平台 采取 断 网 措施 . 

事后 处 置 ， 一 旦 前 面 的 技术 手段 都 失效 ， 就 需要 在 安全 主管 的 认可 下 启动 应 急 预 案 。 首 
先 确保 业务 本 身 的 安全 。 在 此 基础 上 再 考虑 其 他 问题 ， 如 故障 现象 、 可 能 的 故障 原因 、 涉 及 
的 部 门 和 人 员 ， 造 成 问题 的 是 平台 本 身 的 性 能 原因 还 是 其 他 问题 ， 这 些 问题 是 否 在 管理 制度 
中 做 出 了 相关 规定 ， 是 否 需要 完善 或 补充 等 。 

控制 流程 见 图 B-11. 


终端 网 络 访问 策略 失效 禁用 或 被 卸载 的 风险 


系统 管理 员 平台 架构 师 
冬 峭 使 用 者 ( 测试 人 员 ) ( 安全 管理 员 ) 


完善 终端 防 随意 E | 本 


御 载 策略 的 机 制 软件 开发 管理 规范 
制定 应 急 预 案 


7 


和 
这 
演 
博 
V 


终 病 定 匠 
通报 机 制 


< 事 中 阶段 > 


事后 阶段 > 


人 工 处 理 并 完善 
相关 制度 和 预案 


区 


图 B-11 
(4) 风险 点 (10-11): 终端 网 络 设备 运行 监控 平台 自身 风险 
事前 处 置 : 严格 执行 软件 开发 管理 规范 ， 明 确 功 能 需求 ， 严 格 审 核 测 试 方案 和 测试 用 
例 ， 并 且 确 保 软件 能 够 解决 现 有 工作 中 的 问题 。 充 分 预见 可 能 的 失效 场景 ， 拟 定 对 应 的 应 急 
了 预案， 明确 一 旦 由 于 平台 的 性 能 出 现 瓶 颈 ， 导 致 出 现 业 务 停止 的 情况 时 ， 需 要 采取 的 应 急 指 
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施 。 有 关 人 员 需 要 按照 应 急 措施 定期 去 演练 ， 以 达到 熟悉 的 程度 。 

事 中 处 置 : 平台 的 健康 目 诊 断 系统 需要 及 时 检测 平台 的 资源 使 用 情况 ， 如 有 果 超 出 预先 规 
定 的 阔 值 ， 则 需要 及 时 向 管理 员 报 警 ， 要 求 管 理 员 必须 及 时 反馈 ; 通过 分 级 部 署 的 方式 来 规 
避 集 中 部 署 的 性 能 瓶颈 。 

事后 处 置 : 一 旦 平台 出 现 问题 导致 严重 影响 业务 ， 则 安全 主管 必须 及 时 局 动 应 急 预 案 ， 
确保 业务 本 喘 的 安全 。 在 此 基础 上 再 考虑 其 他 问题 ， 如 故障 现象 、 可 能 的 故障 原因 、 涉 及 的 
部 门 和 人 员 ， 造 成 问题 的 是 平台 本 身 的 性 能 原因 还 是 其 他 问题 ， 这 些 问题 是 否 在 管理 制度 中 
做 出 了 相关 规定 ， 是 否 需 要 完善 或 补充 等 。 

控制 流程 见 图 B-12。 


< 网 络 设 备 运行 老化 风险 > 


< 事前 阶段 > 


< 事 中 阶段 > 


< 事后 阶段 > 


a a 
a 制定 完善 《生产 管理 制度 》 
设备 的 入 网 时 间 
和 使 用 年 限 转化 制定 完善 《设备 管理 制度 》 
为 管理 平台 的 安 
全 策略 
加 载 策略 
和 理科 | 
设备 运行 周 其 
是 否 超出 年 限 | 
管理 员 是 否 | 
及 时 反馈 | 
进入 下 一 个 循环 


图 B-=-12 


3. 风险 控制 效果 

对 于 此 类 风险 涉及 的 终端 违规 访问 风险 ， 通 过 采取 管理 、 规 范 、 流 程 、 技 术 不 同 的 措 
施 ， 分 别 从 事前 、 事 中 、 事 后 3 个 方面 来 加 以 控制 ， 可 以 基本 达到 风险 管控 的 目的 。 

通过 事前 对 终端 的 需要 访问 的 目的 地 址 、 协 议 、 问 口 和 时 间 详 细 了 解 ， 逐 步 建立 标准 网 
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络 访问 基线 ， 建 立正 常 访问 基线 ， 事 中 根据 这 个 基线 进行 监控 和 事后 效果 的 分 析 和 改善 ， 实 
现 了 PDCA 的 最 佳 实践 ， 为 有 效 控制 网 络 流量 异常 风险 达到 了 效果 。 事 后 通过 日 志 审 计 ， 可 
以 查找 风险 源 ， 追 洲 到 终端 责任 人 ， 这 可 以 给 后 续 的 考评 管理 提供 依据 ， 

由 于 控制 平台 本 身 的 性 能 可 能 会 造成 风险 事件 在 采集 、 汇 集 、 分 析 、 展 示 等 不 同 阶段 的 
遗漏 和 误 判 ， 这 一 点 还 需要 按照 残余 风险 的 处 理 办 法 去 加 以 处 理 。 


B.1.4” IP/MAC 地 址 算 改 风险 (9 个 风险 点 ) 


1. 风险 分 析 

(1) 风险 描述 

一 般 的 访问 控制 都 是 通过 耳 过 滤 功 能 来 控制 局 域 网 内 不 同 卫 地 址 的 上 网 权限 来 实现 
的 。 例 如 限定 某 个 IP 地 址 或 某 一 段 IP 地 址 只 能 访问 Web 和 收发 邮件 ， 规 定 一 些 地 址 可 以 访 
问 权 限 更 高 的 资源 ， 如 数据 库 、 人 事 资 料 库 等 。 但 是 卫 地 址 的 修改 是 非常 容易 的 ， 局 域 网 
用 户 可 以 通过 更 改 自己 的 全 地 址 (例如 盗用 权限 更 高 人 员 的 全 地 址 〉 以 获得 更 多 访问 权 
限 。 如 果 对 IP/MAC 地 址 算 改 信息 不 及 时 监控 、 上 报 和 采取 有 效 措施 的 话 ， 会 严重 威胁 到 业 
务 的 持续 有 效 的 运行 。 

该 类 风险 主要 表现 在 : 

1) 私自 算 改 IP 地址 会 造成 PP 地 址 冲突 ， 导 人 致 网络 中 断 ， 使 正常 工作 的 主机 无 法 使 用 网 
络 办 公 的 风险 。 

2) 因为 事前 没有 对 所 有 终端 网 卡 的 MAC 地 址 和 对 应 的 了 王 地 址 进行 登记 ， 致 使 盗用 卫 
地 址 不 能 及 时 发 现 、 或 者 发 现 后 不 能 及 时 采取 有 效 措施 的 风险 。 

3) IP/MAC 绑 定 策略 被 停止 或 被 删除 的 风险 ， 而 不 能 采取 技术 手段 及 时 恢复 卫 地 址 的 
初始 状态 并 通报 管理 员 。 

4) IP/MAC 绑 定 模块 与 某 些 业务 冲突 ， 造 成 业务 连续 性 风险 。 

下 面 对 IP/MAC 地 址 算 改 风险 进行 详细 的 分 解 : 

(2) 相关 风险 点 

IP/MAC 地 址 算 改 风险 点 详 见 表 B-7。 


表 B-7 


风险 属性 隐患 /风险 
没有 记录 所 有 网 卡 的 MAC 地址 和 对 应 的 IP 地 址 
终端 的 IP/MAC 地 址 绑 定 可 以 随意 修改 
不 对 终端 的 多 网 卡 状态 进行 监控 
让 NAC 地 址 不 能 及 时 发 现 终端 的 多 网 - 
自 改 风险 发现 终 端的 IP/MAC 地 址 绑 定 随意 修改 状况 
不 能 发 现 终 端的 IP/MAC 地 址 绑 定 模 块 被 随意 停止 或 删除 


发 现 终端 的 IP/MAC 地 址 绑 定 模块 随意 修改 后 ， 不 能 采取 技术 
手段 及 时 恢复 IP 地 址 的 初始 状态 


发 现 终端 的 IP/MAC 地 址 绑 定 模块 随意 修改 后 不 能 对 终端 进行 
提示 违规 行为 记录 并 上 报 管理 员 ， 和 警告 直至 人 工 现 场 处 理 


终端 的 IP/MAC 地 址 绑 定 模块 加 载 后 与 某 些 程序 和 应 用 冲突 


Cw 
5 有 | 
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以 下 将 分 别 从 资产 使 用 生命 周期 、 相 关 信 息 安全 、 资 产 使 用 人 员 和 合 规 性 4 个 方面 对 以 
上 9 个 风险 点 进行 详细 描述 : 

(a) 基于 资产 使 用 生命 周期 分 析 

资产 使 用 生命 周期 包含 入 网 前 、 运 行 阶 段 、 维 修 阶 段 、 报 废 阶 段 ， 网 络 设 备 运行 风险 按 
照 资 产 使 用 生命 周期 的 分 析 如 下 : 

风险 点 (1-3): 涉及 入 网 前 、 运 行 阶段 。 由 于 基本 管理 措施 的 缺失 ， 没 有 所 有 网 卡 的 
MAC 地 址 和 对 应 的 卫 地 址 的 记录 ， 一 旦 出 现 IP 地 址 随意 设置 ， 就 会 造成 IP 地 址 冲突 ， 
导致 网 络 冲突 ， 查 找 故 障 点 非常 困难 ， 导 致 正常 工作 的 主机 无 法 使 用 网 络 办 公 ， 业 务 停 灌 
的 风险 。 

风险 点 〈4-6): 涉及 运行 阶段 。 由 于 终端 管理 模块 的 IP/MAC 模块 没有 设置 或 没有 正常 
设置 或 因 种 种 原因 ， 导 致 不 能 及 时 有 效 而 全 面 地 监控 耳 修改 状态 ， 甚 至 IP/MAC 模块 本 身 
被 删除 的 严重 情形 ， 最 后 可 能 出 现 网 络 运行 失 控 的 状态 ， 给 业务 带 来 极 大 的 风险 。 

风险 点 〈7-9): 涉及 运行 阶段 。 由 于 技术 控制 措施 不 到 位 ， 不 能 对 全 部 的 IP/MAC 违规 
现象 进行 纠正 ， 如 发 现 终 端的 IP/MAC 地 址 绑 定 模块 随意 修改 后 ， 不 能 采取 技术 手段 及 时 恢 
复 卫 地 址 的 初始 状态 ， 也 不 能 对 终端 进行 提示 霹 规 行为 记录 并 上 报 管理 员 ， 告 警 ， 直 至 人 
工 现场 处 理 的 一 系列 措施 ， 也 会 出 现 网 络 运行 失控 的 状态 ， 给 业务 带 来 极 大 的 风险 。 

(b) 基于 相关 信息 安全 关系 分 析 

相关 信息 安全 分 为 在 线 信 息 风 险 和 存储 信息 风险 ，IP/MAC 和 倾 改 风险 按照 相关 信息 安全 
关系 的 分 析 如 下 : 

风险 点 〈1-3): 如 果 人 缺失 有 关 的 IP/MAC 异常 的 监控 措施 ， 一 旦 网 络 出 现任 意 修改 IP 地 
址 ， 造 成 卫 地 址 冲突 ， 必 将 造成 业务 运行 中 的 在 线 信息 风险 和 存储 信息 风险 。 

风险 点 〈4-6): 虽然 建立 了 IP/MAC 异常 的 监控 措施 ， 但 是 如 果 不 能 及 时 有 效 地 起 到 监 
控 作 用 ， 出 现 网 络 运行 失控 的 状态 ， 造 成 业务 运行 中 的 在 线 信息 风险 和 存储 信息 风险 。 

风险 点 (7-9): 如 果 管 理 平台 的 技术 能 力 不 够 ,不 能 及 时 发 现 所 有 的 IP/MAC 异常 违 
规 ， 或 者 不 能 对 所 有 的 IP/MAC 异常 违规 及 时 告警 或 处 理 ， 将 造成 安全 策略 执行 不 到 位 。 将 
会 给 业务 带 来 在 线 信 息 风 险 和 存储 信息 风险 。 

《c) 基于 资产 使 用 人 分 析 

资产 (终端 ) 使 用 人 包括 内 部 人 员 、 临 时 人 员 和 外 部 人 员 3 大 类 ， 而 内 部 人 员 可 以 再 细 
分 为 高 级 管理 者 ， 关 键 业 务 人 员 和 网 络 管理 人 3 种 角色 ， 临 时 人 员 主 要 是 辅助 人 员 岗 位 〈 如 
食 尝 、 车 队 、 绿 化 等 人 员 )， 而 外 部 人 员 包 括 外 来 厂商 运 维 人 员 和 系统 内 外 来 人 员 。 终 端的 
使 用 者 因为 不 同 的 角色 和 不 同 的 操作 意图 ， 一 个 相同 的 风险 点 对 应 不 同 映 份 的 终端 使 用 人 风 
险 级 别 也 不 同 。 以 下 将 IP/MAC 异常 违规 风险 按照 终端 使 用 人 角色 分 析 如 下 : 

风险 点 (1-3): 任何 岗位 角色 都 会 使 用 网 络 ， 都 会 涉及 终端 违规 网 络 访 问 风险 问题 ， 因 
此 ， 该 风险 与 内 部 人 员 相 关 : 

a) 高 级 管理 岗位 ， 如 区 域 负责 人 等 高 层 领导 ， 他 们 不 太 会 修改 PP， 但 是 他 们 的 IP 地 址 
具有 极 高 的 权限 ， 极 有 可 能 会 被 仿冒 。 

b) 地 市 部 门 主管 、 网 络 管理 员 、 配 置 管理 员 、 系 统管 理 员 、 财 务 部 人 员 等 关键 岗位 业 
务 人 员 ， 他 们 不 太 会 修改 一 ， 但 是 他 们 的 耳 地址 具有 较 高 的 权限 ， 较 有 可 能 会 被 仿冒 。 

该 风险 也 与 临时 人 员 相 关 : 辅助 人 员 岗 位 〈 如 食堂 、 车 队 、 绿 化 等 人 员 等 )， 可 能 会 假 
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冒 其 他 人 员 的 全， 访问 与 其 身份 不 符 的 资源 ， 其 风险 重大 。 

该 风险 与 外 来 人 员 相 关 : 外 来 厂家 人 员 、 特 别 是 外 来 维护 人 员 其 网 络 知 识 丰 富 ， 也 有 可 
能 进行 I P/MAC 假冒 ， 其 风险 重大 。 

风险 点 〈4-6): 内 部 人 员 在 网 络 使 用 时 ， 必 须 有 在 用 终端 的 IP/MAC 对 应 关系 ， 否 则 一 
旦 出 现 问 题 ， 不 能 做 有 效 查 找 ， 重 点 需要 了 解 高 级 管理 岗位 ， 如 区 域 负 责 人 等 高 层 领导 在 用 
终端 的 IP/MAC 对 应 关系 和 地 市 部 门 主 管 、 网 络 管理 员 、 配 置 管理 员 、 系 统管 理 员 、 财 务 部 
人 员 等 关键 岗位 业务 人 员 的 在 用 终端 的 IP/MAC 对 应 关系 ; 而 对 于 临时 人 员 和 外 部 人 员 的 ， 
因 无 法 事先 对 其 在 用 终端 的 IP/MAC 作出 基线 ， 风 险 较 大 。 

风险 点 〈7-8): 对 于 高 级 管理 岗位 ， 如 区 域 负责 人 等 高 层 领导 的 在 用 终端 的 IP/MAC 策 
上 略 需 要 重点 保证 ， 一 旦 策略 不 能 及 时 有 效 下 发 ， 或 不 能 了 解 当前 策略 是 否 有 效 ， 造 成 重要 业 
务 不 能 及 时 审批 ， 给 业务 的 有 效 性 造成 风险 。 对 于 地 市 部 门 主管 、 网 络 管理 员 、 配 置 管理 
员 、 系 统管 理 员 、 财 务 部 人 员 等 关键 岗位 业务 人 员 ， 一 旦 策略 不 能 生效 或 与 业务 冲突 ， 势 必 


对 业务 造成 风险 。 
风险 点 (9): 该 风险 对 于 高 级 管理 岗位 较 大 ， 一 旦 在 用 终端 的 IP/MAC 绑 定 监控 模块 与 
领导 的 业务 冲突 ， 导 致 不 能 上 网 ， 必 然 给 业务 带 来 严重 风险 ;当然 这 个 风险 也 会 给 内 部 管理 


人 员 如 地 市 部 门 主 管 、 网 络 管理 员 、 配 置 管 理 员 、 系 统管 理 员 、 财 务 部 人 员 等 关键 册 位 业务 
人 员 的 业务 带 来 威胁 ， 这 个 风险 与 临时 人 员 和 外 来 人 员 的 风险 级 别 不 大 。 

(d) 合 规 性 有 要求 

合 规 性 要 求 见 表 B-8。 


表 B-8 


7.1.2.2 ”访问 控制 (G3) A 人 
重要 网 段 应 采取 技术 手段 防止 地 址 欺骗 人 


7.1.2.3 ”安全 审计 (G3) 应 对 网 络 系统 中 的 网 络 设备 运行 状况 、 | 。 ~、 
网 络 流量 、 用 户 行为 等 进行 日 志 记录 2 


2. 风险 管控 

每 类 风险 在 管控 过 程 中 ， 针 对 风险 的 事前 、 事 中 和 事后 3 种 状态 进行 监控 ， 做 到 事前 预 
防 、 事 中 控制 、 事 后 审计 追查 。 下 面 的 风险 管控 处 理 流 程 ， 尽 量 从 事前 、 事 中 和 事后 3 方面 
对 风险 管控 进行 描述 。 

(1) 风险 点 (1-5): IP/MAC 地 址 算 改 监控 缺失 风险 

事前 处 置 ， 需要 在 终端 机 器 入 网 前 ， 调 查 记录 内 部 网 络 配 置 ， 做 好 下 地 址 ，MAC 地 
址 ， 接 入 区 域 ， 接 入 交换 机 对 应 端口 ， 涉 及 员工 等 信息 登记 在 IP/MAC 绑 定 表 ， 将 这 些 信息 
导入 分 别 倒 入 管理 中 心 ， 接 入 交换 机 对 应 端口 ， 内 置 防火 墙 上 。 

事 中 处 置 : 如 果 发 现 终端 上 修改 了 IP/MAC 对 应 信息 ， 即 给 终端 发 出 提示 信息 ， 提 示 信 
息 包含 有 关 的 警告 信息 ; 如 果 发 现 终端 上 修改 了 IP/MAC 对 应 信息 ， 而 且 发 现 有 利用 修改 后 
的 人 地 址 从 事 违 规 的 网 络 活 动 ， 管 理 员 有 权 发 送 阻 断 集 略 ， 强 制 将 违规 终端 断 网 ， 对 于 需要 
进行 IP/MAC 信息 修改 的 工作 要 求 ， 可 以 提交 主管 领导 和 信息 安全 管理 人 员 审 批 ， 经 过 核准 
之 后 ， 才 能 由 管理 员 进行 修改 ， 以 上 的 处 置 措 施 都 必须 作出 完整 的 日 志 记录 ， 及 时 上 报 管理 
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中 心 。 
事后 处 置 ， 对 于 该 类 风险 ,保留 日 志 记 录 ， 如 果 出 现 安全 事件 ， 可 以 退 溯 贡 任 人 进行 批 
评 和 责 罚 。 同 时 ， 通 过 日 志 审 计 ， 对 IP/MAC 对 应 表 做 一 些 梳理 ， 确 定 是 否 需要 改进 。 
控制 流程 见 图 B-13。 
IP/MAC 地 址 自 改 监控 缺失 风险 
终端 使 用 者 


按照 用 户 角色 站 制定 完善 《设备 管理 制度 》 
工作 终端 记录 确定 IP/MAC 绑 定 策略 


绑 气 制定 完善 《安全 监控 管理 制度 》| 志 4 
IP/MAC 制定 完善 《网 络 安全 管理 制度 》 


< 事前 阶段 > 


完善 I P/MAC 绑 定 策略 


和 
并 
夸 
芋 
才 
V 


< 事后 阶段 > 


(2) 风险 点 〈6-9): IP/MAC 地 址 算 改 技术 控制 措施 失效 风险 
事前 处 置 : 使 用 技术 手段 对 终端 的 IP/MAC 等 网 络 配置 进行 监测 和 保护 ， 对 于 违规 情况 
可 以 及 时 发 现 并 在 适当 的 情况 下 进行 修复 和 保护 。 需 要 制定 有 关 的 应 急 响 应 预案 ， 一 旦 出 现 
策略 不 能 及 时 更 新 而 技术 手段 无 法 实现 时 需要 启动 ; 一 旦 出 现 IP/MAC 算 改 次 用， 导致 业务 
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遭 到 影响 时 需要 启动 。 

事 中 处 置 : 通过 分 析 实 时 的 终端 通信 日 志 、 实 时 的 网 络 设备 通信 日 志 了 解 IP/MAC 地 址 
对 应 是 否 正常 ， 或 者 及 时 发 现 IP/MAC 地 址 绑 定 模块 被 停止 和 被 删除 ， 或 者 了 解 IP/MAC 地 
址 绑 定 模块 与 某 些 业 务 是 否 冲 突 ; 如 果 在 规定 的 时 间 内 得 不 到 反馈 信息 ， 需 要 启动 应 急 预 
案 ; 一 旦 出 现 策略 与 业务 的 兼容 性 问题 ， 需 要 有 逃生 机 制 ， 即 通过 人 人 工 缉 载 策 略 ， 确 保 业 务 
的 顺利 进行 。 

事后 处 置 : 一 旦 前 面 的 技术 手段 都 失效 ， 需 要 在 安全 主管 的 认可 下 启动 应 急 预 案 。 首 先 
在 确保 业务 顺利 进行 的 前 提 下 ， 人 工 在 本 地 更 新 或 抒 载 策 略 。 在 此 基础 上 再 考虑 其 他 问题 ， 
如 策略 不 能 更 新 的 故障 原因 、 涉 及 的 部 门 和 人 员 ， 造 成 问题 的 是 平台 本 身 的 性 能 原因 还 是 其 
他 因素 ， 这 些 问 题 是 否 在 管理 制度 中 作出 了 相关 规定 ， 是 否 需 要 完善 或 补充 等 。 

控制 流程 见 图 B-14。 


IP/MAC 地 址 自 改 技术 控制 措施 失效 风险 


终端 使 用 者 。 | 系统 管理 员 (测试 人 员 ) | 平台 架构 师 (安全 管理 员 


< 事前 阶段 > 


| 管理 平台 实时 监控 | 


案 略 与 革 些 小 
务 是 否 冲突 


网 络 设 
备 信 息 
策略 是 否 存在 
国 策略 是 否 得 到 
及 时 更 新 


i Em 
人 


工 处 理 并 完善 
相关 制度 和 顾 案 


< 事 中 阶段 > 


< 事后 阶段 > 


图 B=-14 
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3. 风险 控制 效果 

对 于 此 类 风险 涉及 的 IP/MAC 算 改 风险 ， 通 过 采取 管理 、 规 范 、 流 程 、 技 术 不 同 的 措 
施 ， 分 别 从 事前 、 事 中 、 事 后 3 个 方面 来 加 以 控制 ， 可 以 基本 达到 风险 管控 的 目的 。 

通过 事前 对 不 同 角色 的 用 户 ， 逐 步 建立 IP/MAC 基线 ， 事 中 根据 这 个 基线 进行 监控 和 事 
后 效果 的 分 析 和 改善 ， 实 现 了 PDCA 的 最 佳 实践 ， 为 有 效 地 控制 网 络 流量 异常 风险 达到 了 效 
果 。 事 后 通过 日 志 审 计 ， 可 以 查找 风险 源 ， 追 溯 到 终端 责任 人 ， 这 可 以 给 后 续 的 考评 管理 提 
供 依据 。 

由 于 控制 平台 本 身 的 性 能 可 能 会 造成 风险 事件 在 采集 、 汇 集 、 分 析 、 展 示 等 不 同 阶 
段 的 遗漏 和 误 判 ， 可 能 给 业务 带 来 风险 ， 因 此 需要 根据 可 能 出 现 的 场景 ， 如 策略 与 业务 
冲突 ， 定 制 的 技术 处 理 手段 失灵 等 ， 制 定 应 急 预 案 并 做 定期 演练 ， 努 力 确 保 业 务 的 连续 
性 和 可 靠 性 。 


] B.2 终 靖 运行 安全 (CRR1.2) 


B.2.1 ”进程 服务 运行 的 风险 (20 个 风险 点 ) 


1. 风险 分 析 

(1) 风险 描述 

该 类 风险 主要 表现 为 一 些 终端 客户 在 没有 管控 的 情况 下 ， 会 私自 安装 一 些 与 正常 工作 
无 关 的 软件 ， 并 在 客户 端 上 运行 这 些 软件 的 进程 /服务 。 这 些 进 程 / 服 务 ， 通 各 被 称 为 黑 名 
单 进程 /服务 。 这 些 黑 名 单 进程 /服务 的 运行 ， 可 能 会 大 量 占用 终端 的 CPU、 内存 和 硬盘 资 
源 ， 更 有 甚 者， 一 些 病毒 或 者 木马 进程 会 造成 信息 泄漏 或 者 病毒 传播 ， 进 而 影响 全 网 安 
全 。 与 此 同时 ， 为 了 文 撑 正常 业务 运转 ， 需 要 在 终 并 上 启用 一 些 必 要 的 进程 /服务 ， 这 些 进 
程 /服务 通常 被 称 为 白 名 单 进程 /服务 。 只 有 日 名 单 上 的 进程 /服务 都 启用 ， 才 能 文 撑 正常 业 
务 运转 。 

黑 名 单 进程 /服务 : 不 允许 在 终端 上 运行 的 进程 /服务 ， 运 行 会 给 终端 带 来 风险 ， 比 如 对 
系统 存在 威胁 的 病毒 木马 进程 /服务 等 ， 下 面 是 几 个 常见 的 对 系统 存在 威胁 的 的 病毒 木马 
进 往 。 

v mario.exe: Trojan.Mario 木马 的 部 分 进程 ， 植 入 者 会 远程 访问 计算 机 ， 并 傻 取 用 户 信 

恩 和 密码 等 资料 。 

w win32ssr.exe: 是 Backdoor.Win32.Rbot.aob 木马 的 进程 。 

w wincomm.exe: 通常 这 个 木马 启动 之 后 会 同时 运行 winlock.exe， 两 者 互相 监控 是 否 运 
行 。 一 旦 发 现 对 方 不 在 内 存 中 ， 就 立即 使 对 方 运行 。 会 捆绑 其 他 的 病毒 ， 在 DOS 下 
可 清除 。 

w Scvhost.exe : 刁 名 昭彰 的 安 可 病毒 进程 了 ， 变 种 达 几 十 个 之 多 。 跟 冲击 波 病 毒 
(Worm.Msblast) 一 样 ， 利 用 系统 RPC 漏洞 传播 。 

黑 名 单 进程 /服务 还 可 以 是 一 些 占用 大 量 带 宽 的 下 载 程 序 ， 也 可 以 是 一 些 聊 天 、 视 频 等 
工具 ， 应 明确 规定 不 允许 在 终端 上 进行 这 些 进 程 /服务 。 对 不 同 的 体系 ， 会 维护 一 个 黑 名 单 
进程 /服务 列表 。 
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白 名 单 进程 /服务 : ne 不 同 主机 要 求 的 进程 /服务 
不 尽 相 同 。 对 不 J 要 维护 一 个 白 名 单 进程 /服务 列表 。 

备注 : 需要 结合 终端 的 使 用 分 类 ， 对 不 同 的 终端 维护 一 份 黑白 名 单 进程 /服务 列表 ， 且 
该 列表 的 内 容 需 要 及 时 调整 和 更 新 。 

(2) 相关 风险 点 

进程 /服务 运行 的 风险 点 详 见 表 B-9。 


友 骂 风 险 点 风险 属性 隐患 /风险 
时 进程 /服务 运行 隐患 
所 进程 /服务 运行 ， 没 有 提示 终端 用 广 生 隐患 
时 进程 /服务 运行 ， 审 计 信 息 没有 上 报 管理 员 风险 
单 进程 /服务 运行 ， 没 有 产生 告警 8 隐患 
黑 名 单 进程 /服务 运行 ， 没 有 通过 策略 阻止 和 生 风 区 风险 


黑 名 单 进程 /服务 运行 ， 提 示 用 户 禁 止 进程 /服务 ， 但 用 户 又 重启 该 
进程 /服务 


L 制 不 完整 ， 相 应 的 策略 内 容 不 完整 ; 隐患 


黑 名 单 进程 /服务 运行 ， 不 能 用 已 有 的 黑 名 单机 制 来 检测 ， 导 致 时 
单 进程 /服务 不 能 检测 


单 进 程 /服务 运行 不 完整 ， 没 有 提示 终端 用 上 生 风 隐 隐患 
总 进程 /服务 运行 不 完整 ， 审 计 信息 没有 上 报 管理 员 生 风 了 风险 
冯 进 程 /服务 运行 不 完整 ， 没 有 产 4 生 风 区 隐患 
单 进程 /服务 运行 不 完整 ， 没 有 通过 策略 启用 进程 隐患 


名 单 进程 /服务 运行 不 完整 ， 提 示 用 户 启用 进程 /服务 ， 但 用 上 
下 该 进程 /服务 风险 


匀 名 单 进程 /服务 运行 ， 不 能 用 已 有 的 白 名 单机 制 来 检测 ， 导 致 白 名 


单 进程 /服务 不 能 检测 残余 风险 风险 


单 进程 /服务 运行 ， 导 致 CPU 占用 率 持续 高 次 生 风 险 风险 
四 次 生 风 险 风险 


进程 /服务 0 | es 和 
\ 一 /一 1 > 程 云 行 ` 完 整 ~ 本 MS 患 
: 


(a) 基于 资产 使 用 生命 周期 分 析 

该 类 风险 涉及 入 网 前 、 运 行 阶段 。 入 网 前 由 于 终端 资产 不 包含 敏感 信息 和 数据 ， 风 
险 较 低 ; 入 网 后 ， 由 于 运行 过 程 中 涉及 敏感 信息 和 生产 数据 ， 如 果 不 加 以 控制 ， 将 会 导 
致 损失 较 大 ， 风 险 较 高 。 进 程 /服务 运行 的 风险 对 终端 的 影响 在 资产 使 用 生命 周期 的 体现 
如 下 : 

风险 点 (1-9): 黑 名 单 进程 /服务 在 终端 上 运行 ， 这 些 风险 主要 涉及 入 网 前 和 运行 阶段 。 
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维修 和 报废 阶段 ， 终 端 不 运行 ， 不 存在 该 类 风险 。 

入 网 前 ， 终 端 运行 黑 名 单 / 进 程 服务 ， 会 对 终端 本 身 的 安全 带 来 一 些 风险 ， 如 果 是 病毒 
进程 ， 会 造成 终端 感染 的 风险 ;如 果 是 与 工作 无 关 的 进程 ， 会 影响 工作 效率 。 但 影响 的 范围 
在 终端 本 身 ， 不 会 对 整体 系统 造成 大 的 风险 ， 风 险 一 般 。 

终端 入 网 处 于 运行 阶段 后 ， 如 果 黑 名 单 进程 是 与 病毒 有 关 的 ， 会 将 病毒 扩散 到 整个 系 
统 ， 风 险 极 高 ;如 果 该 黑 名 单 进程 占用 大 量 CPU 资源 时 ， 会 造成 正常 业务 进程 运行 所 需要 
的 CPU 资源 得 不 到 满足 ， 从 而 影响 业务 使 用 ; 如 果 该 黑 名 单 进程 占用 大 量 内 存 资源 时 ， 会 
造成 正常 业务 进程 运行 所 需要 的 内 存 资 源 得 不 到 满足 ， 从 而 影响 业务 使 用 ， 如 果 该 黑 名 单 进 
程 是 与 工作 无 关 的 进程 ， 会 影响 正常 工作 的 开展 ， 降 低 工 作 效 率 。 如 果 该 黑 名 单 进程 是 下 载 
类 的 进程 /服务 ， 会 占用 大 量 的 带宽 ， 从 而 影响 正常 的 业务 通信 ， 影 响 业 务 使 用 。 

风险 点 (10-18): 和 白 名 单 进 程 /服务 在 终端 上 运行 不 完整 ， 这 些 风 险 主 要 涉及 入 网 前 和 运 
行 阶段 。 维 修 和 报废 阶段 ， 终 端 不 运行 ， 不 存在 该 类 风险 。 在 入 网 前 阶段 ， 此 时 终端 未 接 入 
网 络 ， 不 涉及 数据 传输 ， 白 名 单 进程 /服务 运行 不 完整 导致 的 风险 比较 低 ; 终端 入 网 运行 
后 ， 如 果 不 进行 白 名 单 检 测 ， 导 致 本 应 该 运行 的 进程 /服务 ， 却 没有 运行 ， 如 果 该 进程 是 与 
业务 相关 的 ， 则 影响 业务 开展 。 

风险 点 〈19-20): 黑 名 单 进程 /服务 ， 导 致 终端 的 CPU、 内 存 资 源 占用 率 持 续 高 。 该 风 
险 主 要 涉及 入 网 前 和 运行 阶段 。 维 修 和 报废 阶段 ， 终 端 不 运行 ， 不 存在 这 些 风 险 。 入 网 前 ， 
这 些 风 险 只 会 对 终端 本 身 有 影响 ， 风 险 较 低 。 入 网 后 处 于 运行 阶段 时 ， 高 资源 占用 会 导致 终 
端 不 能 维持 正常 业务 运转 ， 风 险 较 高 。 

(b) 与 信息 安全 关系 

进程 /服务 运行 的 风险 涉及 在 线 信息 安全 风险 和 存储 信息 风险 。 

风险 点 〈1-9): 黑 名 单 进 程 /服务 的 运行 ， 如 果 是 病毒 程序 ， 会 导致 在 线 信 息 被 算 改 或 者 
丢失 ; 同时 ， 因 为 黑 名 单 进程 /服务 的 运行 ， 会 开放 一 些 端 口 ， 进 而 造成 终端 上 的 一 些 在 线 
言 息 被 鳃 取 或 者 修改 ; 黑 名 单 进程 /服务 运行 ， 如 果 是 病毒 程序 ， 会 导致 终端 上 的 存储 信息 
被 算 改 或 者 丢失 ; 同时 ， 因 为 违规 进程 /服务 的 运行 ， 会 开放 一 些 端口 ， 进 而 造成 终端 上 的 
一 些 存储 信息 被 窃取 或 者 修改 。 

风险 点 (10-18): 提名 单 运行 不 完整 的 风险 ， 如 果 必 须 运行 的 防 病 毒 软件 没有 运行 ， 会 
导致 终端 得 不 到 应 有 的 保护 (具体 风险 可 参考 终端 防 病 毒 类 别 的 风险 )。 会 对 在 线 信息 和 存 
储 信息 造成 信息 自 改 和 丢失 的 风险 。 如 果 只 是 业务 处 理 软件 ， 不 运行 不 会 对 在 线 信 息 和 存储 
信息 造成 风险 。 

风险 点 〈19-20): 黑 名 单 进程 /服务 导致 的 终端 异常 资源 占用 ， 会 对 在 线 信 息 的 存储 和 处 
理 带 来 风险 ; 对 已 存储 信息 不 会 影响 ， 风 险 较 低 。 

(ce) 基于 资产 使 用 人 分 析 

风险 点 (1-18): 任何 岗位 角色 都 涉及 进程 /服务 的 不 按 规定 使 用 问题 。 因 此 ， 该 风险 与 
内 部 人 员 相 关 : 高 级 管理 岗位 ， 如 区 域 负责 人 等 高 层 领导 ; 地 市 部 门 主 管 、 网 络 管理 员 、 配 
置 管理 员 、 系 统管 理 员 、 财 务 部 人 员 等 关键 岗位 业务 人 员 ; 开发 人 员 、 研 发 人 员 等 ， 考 虑 根 
据 业 务 和 工作 需要 执行 相关 的 黑白 名 单 进 程 /服务 运行 的 权限 。 

临时 人 员 : 辅助 人 员 岗 位 ， 如 食堂 、 车 队 、 绿 化 等 人 员 ， 该 类 人 员 在 使 用 终端 的 过 程 
中 ， 如 果 随 意 启动 黑 名 单 之 列 的 进程 /服务 ， 会 导致 终端 上 运行 不 允许 运行 的 进程 /服务 ， 进 
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而 影响 终端 的 使 用 。 

外 来 人 员 : 外 来 厂家 人 员 、 外 来 维护 人 员 一 般 情况 下 ， 是 不 赋予 对 进程 /服务 的 操作 权 
限 的 ， 如 果 因 为 工作 需要 ， 应 先 将 需要 运行 的 进程 报批 ， 在 黑白 名 单 进程 中 备案 后 ， 再 根据 
相关 的 策略 运行 相关 的 进程 。 

风险 点 (19-20); 任何 岗位 角色 都 可 能 存在 违规 进程 /服务 导致 的 终端 资源 异常 占用 的 问 
题 。 因 此 ， 需 要 严格 控制 各 类 人 员 对 进程/ 服务 的 启动 /禁用 权限 。 同 时 ， 要 执行 严格 的 黑白 
名 单 检测 机 制 ， 避 免 出 现 黑 名 单 进程 的 异常 资源 占用 ， 从 而 导致 终端 不 可 用 的 风险 。 

cd) 合 规 性 要 求 

合 规 性 要 求 见 表 B-10。 


序号 双全 等 级 保护 〈 三 级 ) 要 求 符合 程度 


1 等 级 保护 中 没有 明确 对 进程 /服务 运行 的 要 求 


该 风险 属于 运行 时 风险 ， 一 般 来 说 ， 运 行 的 进程 和 服务 ， 对 于 不 同类 型 的 终端 来 说 ， 要 求 
的 进程 和 服务 不 尽 相 同 ， 与 实际 运 维 环境 密切 相关 。 等 级 保护 方面 在 这 块 没有 明确 的 要 求 。 

相关 技术 和 管理 的 风险 管控 措施 参见 以 下 小 节 阐 述 。 

2， 风 险 管控 

(1) 风险 点 〈1-9): 黑 名 单 进程 /服务 运行 管理 控制 流程 

事前 处 置 : 定义 具体 的 黑 名 单 /服务 的 范围 ， 哪 些 是 明确 不 允许 在 内 网 终端 上 运行 的 进 
程 /服务 。 这 个 黑 名 单 /服务 列表 是 随 着 运 维 过 程 变化 而 变化 的 ， 不 同类 型 的 终端 上 ， 运 行 的 
黑 名 单 进程 /服务 不 尽 相同 。 

事 中 处 置 : 

v 定时 检测 终端 运行 的 进程 /服务 列表 

v 将 获取 的 进程 /服务 列表 与 事前 定义 的 黑 名 单列 表 进 行 比较 

v 如 果 有 黑 名 单 上 的 进程 和 服务 ， 提 示 终 端 用 户 运 行 了 黑 名 单 进程 /服务 (通知 终端 用 

和 是 的 方式 ) 
v 根据 黑 名 单 运 行 策 略 执行 操作 ， 提 示 终 端 使 用 者 ， 并 且 发 送 防护 平台 
v 记录 违规 运行 黑 名 单 进程 /服务 的 行为 及 终端 使 用 者 的 操作 ， 发 送 至 防护 平台 服 


务 器 
v 发 现 黑 名 单 进程 /服务 运行 违规 行为 时 ， 记 录 黑 名 单 违规 运行 的 审计 记录 ， 保 存 至 防 
护 平台 服务 器 


v 对 黑 名 单 进程 /服务 违规 运行 的 行为 进行 取证 ( 黑 名 单 违 规 运 行 的 进程 名 称 、 进 程 运 
行 的 终端 使 用 者 、 终 端 IP 等 原始 记录 信息 )， 保 存 至 防护 平台 服务 器 
事后 处 置 : 根据 整体 安全 态势 分 析 ， 调 整 安全 策略 ， 针 对 终端 下 发 新 的 黑 名 单 进程 / 
服务 运行 安全 策略 。 管 理 员 通 过 黑 名 单 违规 运行 的 记录 对 违规 黑 名 单 进程 /服务 行为 进行 
追溯 ， 并 通过 管理 流程 进行 相应 的 处 罚 ， 处 如 时 以 防护 平台 保存 的 访问 原始 记录 作为 处 
可 依据 。 
处 置 流 程 见 图 B-15。 
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终 剖 安 全 运行 风 险 附录 忆 
黑 名 单 进程 / 服务 运行 管理 控制 流程 


《终端 体系 黑 名 单 进程 规定 》 


本 区 编制 黑 名 单 进 


< 事前 阶段 > 


黑 名 单 进程 / 
1 服务 运 提示 风险 分 析 


是 否 禁止 黑 名 黑 名 单 运行 违规 
单 进程 /服务 行为 审计 记录 


一 一 违规 行为 取证 
终端 用 户 操作 ( 违规 访问 的 原始 记录 ) 


< 事 中 阶段 > 


追溯 违规 行为 


图 。B-15 


《< 事后 阶段 > 


(2) 风险 点 (10-18): 白 名 单 进程 /服务 运行 管理 控制 流程 
事前 处 置 : 定义 具体 的 白 名 单 /服务 的 范围 ， 哪 些 是 为 了 保证 正常 的 工作 和 业务 开展 ， 
必须 在 终端 上 运行 的 进程 /服务 ， 白 名 单 进程 /服务 列表 是 随 着 运 维 过 程 变 化 而 变化 的 ， 不 同 
类 型 的 终端 上 ， 运 行 的 白 名 单 进程 /服务 不 尽 相 同 。 
事 中 处 置 : 
v 定时 检测 终端 运行 的 进程 /服务 列表 
v 将 获取 的 进程 /服务 列表 与 事前 定义 的 白 名 单列 表 进 行 比较 
v 如 果 终 端 上 运行 的 进程 /服务 与 白 名 单 相 比较 ， 白 名 单 规定 的 进程 /服务 在 终端 上 没有 
运行 或 者 运行 不 完整 ， 提 示 终 端 用 户 哪些 进程 /服务 需要 在 终端 上 开启 运行 〈 通 知 终 
端 用 户 ， 消 息 的 方式 ) 
v 根据 白 名 单 运 行 策 略 执行 操作 ， 提 示 终 端 使 用 者 ， 并 且 发 送 防护 平台 
v 记录 违规 运行 白 名 单 进程 /服务 的 行为 及 终端 使 用 者 的 操作 ， 发 送 至 防护 平台 服务 器 
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v 发 现 白 名 单 运行 违规 行为 时 ， 记 录 白 名 单 违规 运行 的 审计 记录 ， 保 存 至 防护 平台 服 
务 器 
v 对 白 名 单 进程 /服务 违规 运行 的 行为 进行 取证 ( 白 名 单 违规 运行 的 进程 名 称 、 进 程 运 
行 的 终端 使 用 者 、 终 端 P 等 原始 记录 信息 )， 保 存 至 防护 平台 服务 器 
事后 处 置 : 
根据 整体 安全 态势 分 析 ， 调 整 安全 策略 ， 针 对 终端 下 发 新 的 白 名 单 进程 /服务 运行 安全 
策略 。 管 理 员 通过 白 名单 违 规 运 行 的 记录 对 违规 白 名 单 进程 /服务 行为 进行 追溯 ， 并 通过 管 
理 流程 进行 相应 的 处 罚 ， 处 罚 时 以 防护 平台 保存 的 访问 原始 记录 作为 处 罚 依据 。 
处 置 流程 见 图 B-16。 


黑 名 单 进程 /服务 运行 管理 控制 流程 


终 映 使 用 者 


《终端 体系 黑 名 单 进程 规定 》 


< 事前 阶段 > 


.二 村 ey 编制 黑 名 单 进 
进程 /服务 运行 策略 程 / 服务 策略 


白 名 单 进程 / 服 
务 运行 不 完整 


风险 分 析 


加 名 单 运行 违 
行为 审计 记录 


违规 行为 取证 
( 违规 访 各 的 原始 记录 ) 


< 事 中 阶段 > 


《< 事后 阶段 > 


图 B-=-16 


(3) 风险 点 〈19): 黑 名 单 进程 /服务 运行 导致 CPU 占用 率 持 续 高 的 管理 控制 流程 

事前 处 置 : 定义 具体 的 黑 名 单 / 服 务 的 范围 ， 哪 些 是 明确 不 允许 在 内 网 终端 上 运行 的 进 
程 /服务 。 这 个 黑 名 蛙 / 服 务 列表 是 随 着 运 维 过 程 变 化 而 变化 的 ， 不 同类 型 的 终 痢 上 ， 运 行 的 
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黑 名 单 进程 /服务 不 尽 相 同 。 定 义 一 个 进程 CPU 使 用 率 异 常 的 范围 ， 根 据 实际 运 维 的 经 验 ， 
当 CPU 使 用 率 持续 寞 名 时 ， 检 测 其 是 否 为 黑 名 单 进 程 《 如 果 是 正常 的 进程 ，CPU 使 用 率 应 
该 是 在 一 个 合理 的 范围 内 )。 

事 中 处 置 : 

检测 终端 上 CPU 使 用 率 寞 第 的 进程 

v 将 使 用 紊 异常 的 进程 /服务 与 黑 名 单 进行 /服务 进行 比较 

v 如 果 有 黑 名 单 上 的 进程 和 服务 ， 提 示 终 端 用 户 运行 了 CPU 使 用 率 异 常 的 黑 名 单 进程 / 

服务 《通知 终端 用 户 ， 消 息 的 方式 ) 

v 根据 黑 名 单 运行 打上 略 执行 操作 ， 提 示 终 端 使 用 者 ， 并 且 发 送 防护 平台 

w 记录 违规 运行 黑 名 单 进程 /服务 的 行为 及 终端 使 用 者 的 操作 ， 发 送 至 防护 平台 服务 器 

事后 处 置 根据 整体 安全 态势 分 机， 调整 安全 人 策略， 针对 终端 下 发 新 的 黑 名 单 进 程 / 服 
务 运行 安全 策略 。 

处 置 流 程 见 图 B-17。 


黑 名 单 进程 /服务 运行 导致 CPU 占用 率 持续 高 的 管理 控制 流程 


ET 


《 墨 名 单 进程 / 服务 列表 》 
CPU 异常 进程 黑 名 单 进程 CPU 资 
黑 名 单 安全 策略 源 占用 异常 策略 


《进程 资源 占用 情况 对 应 表 》 
CPU 异常 进程 /服务 


是 否 是 黑 名 单 进程 


| 风险 分 析 


< 事前 阶段 > 


< 事 中 阶段 > 


新 的 安全 策略 


事后 阶段 > 


< 


一 


图 B-=-17 


< 
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(4) 风险 点 〈20)， 黑 名 单 进程 /服务 运行 导致 内 存 占用 率 持续 高 的 管理 控制 流程 
事前 处 置 ， 定义 具体 的 黑 名 单 /服务 的 范围 ， 哪 些 是 明确 不 允许 在 内 网 终端 上 运行 的 进 
程 /服务 。 这 个 黑 名 单 /服务 列表 是 随 着 运 维 过 程 变化 而 变化 的 ， 不 同类 型 的 终端 上 ， 运 行 的 
黑 名 单 进程 /服务 不 尽 相 同 。 定 义 一 个 进程 内 存 使 用 率 异 常 的 范围 ， 根 据 实 际 运 维 的 经 验 ， 
当 进程 内 存 使 用 率 持 续 异 常 时 ， 检 测 其 是 否 为 黑 名 单 进程 (如果 是 正常 的 进程 ， 内 存 使 用 率 
应 该 在 一 个 合理 的 范围 内 )。 
事 中 处 置 ， 
v 检测 终端 上 内 存 使 用 率 异 常 的 进程 
v 将 使 用 率 异 常 的 进程 /服务 与 黑 名 单 进行 /服务 进行 比较 
v 如 果 有 黑 名 单 上 的 进程 和 服务 ， 提 示 终 端 用 户 运 行 了 内 存 使 用 率 异 常 的 黑 名 单 进程 
服务 〈 通 知 终端 用 户 ， 消 息 的 方式 ) 
v 根据 黑 名 单 运行 策略 执行 操作 ， 提 示 终 端 使 用 者 ， 并 且 发 送 防护 平台 
v 记录 违规 运行 黑 名 单 进程 /服务 的 行为 及 终端 使 用 者 的 操作 ， 发 送 至 防护 平台 服 
务 器 
事后 处 置 ， 根据 整体 安全 态势 分 析 ， 调 整 安全 策略 ， 针 对 终端 下 发 新 的 黑 名 单 进程/ 服 
务 运行 安全 策略 。 
处 置 流程 ， 处 置 流程 与 CPU 资源 持续 过 高 的 流程 类 似 。 
(5) 残余 风险 处 理 
进程 /服务 的 黑白 名 单 是 需要 根据 实际 情况 调整 的 。 在 对 进程 /服务 运行 进行 风险 管理 工 
作 中 存在 这 样 的 情况 ; 
v 具体 的 黑白 名 单 需要 在 运 维 中 确定 ， 实 施 初 期 ， 黑 白 名 单机 制 内 容 不 完整 
在 黑白 名 单机 制 还 不 完整 时 ， 一 些 违规 的 进程 /服务 在 终端 上 运行 ， 如 果 是 病毒 进 
程 ， 会 造成 终端 感染 ， 如 果 病 毒 继续 传播 ， 将 感染 其 他 终端 ， 风 险 较 高 
在 黑白 名 单机 制 还 不 完整 时 ， 一 些 违 规 的 进程 /服务 在 终端 上 运行 ， 如 果 运 行 的 进程 
开放 一 些 端 口 ， 会 造成 终端 上 的 重要 信息 泄漏 等 风险 ， 风 险 较 高 
因此 ， 尽 管 部 署 了 完备 的 检测 和 管理 技术 手段 ， 但 黑白 名 单机 制 是 需要 根据 运 维 
情况 随时 改进 的 ， 如 果 这 个 黑白 名 单机 制 不 及 时 更 新 ， 违 规 进 程 /服务 运行 的 风险 继续 
和 
针对 该 问题 ， 建 议 增加 以 下 几 方面 工作 : 
v 加 强 安全 意识 培训 和 教育 ， 加 强 黑白 名 单机 制 的 建设 工作 
v 注意 黑白 名 单 内 容 的 更 新 工作 ， 及 时 根据 运 维 情况 ， 调 整 黑 白 名 单 的 详细 内 容 
v 提供 制度 保障 ， 要 求 定期 对 黑白 名 单 的 内 容 进行 检查 和 更 新 
v 建立 定期 检查 和 整改 制度 ， 定 期 对 组 织 内 黑白 名 单 的 更 新 情况 进行 检查 ， 并 督促 其 
整改 
v 设立 针对 进程 /服务 运行 的 考核 管理 措施 ， 将 该 项 工作 作为 终端 使 用 人 、 终 端 所 有 音 
位 安全 工作 考评 中 的 考核 指标 
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3. 技术 管控 中 存在 的 问题 和 对 策 

如 果 终 端 操 作 系 统 有 和 错误， 其 进程 /服务 信息 可 能 无 法 获取 ， 会 造成 无 法 控制 ， 需 要 先 
修复 操作 系统 ， 保 证 其 进程 /服务 信息 可 获取 。 

4. 风险 控制 效果 

通过 终端 运行 进程 /服务 的 检测 ， 可 以 监控 终端 进程 /服务 的 运行 情况 。 同 时 结合 监控 
资源 使 用 紊 ， 可 以 有 效 地 发 现 运行 中 的 异常 进程 ， 对 黑 名 单 中 的 非法 进程 /服务 严格 禁止 
运行 ， 并 对 私自 运行 黑 名 单 的 责任 人 给 予 考 评 扣 分 管理 处 鹿 。 同 时 ， 通 过 对 白 名 单 进程 / 
服务 的 检测 ， 保 证 终端 上 必须 运行 的 进程 和 服务 都 得 以 运行 ， 从 而 保证 业务 和 工作 的 正 
钊 开展 。 
B.2.2 ”违规 软件 安 闪 的 风险 (20 个 风险 点 ) 


1， 风 险 分 析 

(1) 风险 描述 

违规 软件 安装 的 风险 主要 表现 为 一 些 终端 客户 端 在 没有 管控 的 情况 下 ， 出 现 个 人 私自 安 
装 与 客户 端 工 作 无 关 的 非 必要 软件 ， 这 些 私 自 下 载 安 装 的 应 用 程序 ， 有 些 是 非 授权 的 软件 ， 
也 有 些 是 占用 资源 很 大 的 游戏 软件 、 电 影 、P2P 下 载 类 软件 等 ， 还 有 些 甚至 是 隐藏 了 后 
门 的 黑客 软件 ， 这 些 软件 轻 则 分 散 工 作 时 的 注意 力 ， 重 则 引起 带宽 消耗 、 网 络 风暴 、 病 
毒 、 黑 客 攻 击 等 。 如 果 是 核心 的 业务 所 在 终端 上 运行 了 这 些 违规 软件 ， 还 有 可 能 造成 敏 
感 信息 泄漏 的 高 风险 。 如 果 不 对 软件 的 安装 情况 进行 管控 ， 由 用 户 随意 安装 、 鼻 载 、 使 
用 ， 存 在 下 面 的 风险 : 

v 如 果 用 户 日 常 工作 需要 的 软件 没有 安装 ， 会 导致 用 户 无 法 正常 进行 工作 

v 如 果 用 户 日 香 工 作 需 要 的 软件 被 卸载 ， 同 样 会 导致 用 户 无 法 正常 进行 工作 

v 如 果 用 户 安装 了 与 工作 无 关 的 某 些 软 件 并 使 用 ， 可 能 会 在 工作 时 间 做 与 工作 无 关 的 

事情 ， 影 响 工 作 效 率 
v 如 果 用 户 安 装 了 某 些 大 量 占 用 带宽 的 下 载 软件 ， 在 使 用 时 会 对 网 络 带宽 造成 严重 影 
啊 ， 使 得 网 络 的 可 用 性 下 降 

违规 软件 的 定义 : 结合 一 般 业 务 系统 的 特点 ， 按 不 同 的 终端 类 型 对 违规 软件 做 如 下 
定义 : 

核心 业务 主机 :此 类 主机 ， 上 面 运行 的 就 是 核心 业务 ， 不 应 该 允许 一 些 个 人 化 的 软件 ， 
比如 聊天 软件 、 游 戏 软件 、 下 载 软件 、 播 放 软件 等 。 

个 人 正常 办 公 终 端 如 果 是 正常 办 公 终 端 ， 只 允许 安装 与 工作 处 理 相 关 的 软件 ， 一 些 游 
戏 软件 、 下 载 软件 等 是 不 允许 安装 的 。 

备注 : 违规 软件 的 定义 需要 结合 实际 情况 进行 ， 上 面 只 是 一 部 
种 类 比较 多 ， 违 规 与 否 需要 与 实际 结合 。 建 议 项 目 实 施 时 ， 对 该 部 
定 不 同类 型 终端 上 对 应 的 违规 软件 。 

(2) 相关 风险 点 

违规 软件 安装 的 风险 点 详 见 表 B-11。 


分 
分 


可 以 参考 的 内 容 ， 软 件 
内 容 进行 详细 调研 ， 确 
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风险 属性 隐患 /风险 


潭 
片 
愿 | 新 


风 隐患 
原生 风险 隐患 
原生 风险 风险 
原生 风险 隐患 
原生 风险 隐患 

违规 软件 安装 上 户 重新 安装 了 该 软件 风险 
隐患 
违规 软件 列表 不 完整 ， 相 应 的 策略 内 容 不 完整 风险 

。 过 志 钦 件 安装 ， 不 能 用 已 有 的 过 软件 检查 机 审 来 从 天 ， 呈 至 | 歼 人 风险 人 


本 /服务 
行 的 风险 
用 户 险 隐患 


区 
| 
苑 


范 
壹 
丽 
出 


地 


区 
| 
区 


攻 
A 
S 
Gu 


芍 
和 


必须 安装 软件 的 检测 ， 不 能 用 己 有 的 必须 安装 软件 列表 来 检 
测 ， 导 致 必须 安装 的 软件 检测 无 法 进行 


区 
| 
区 


区 
双 
情 


寺 终 端 软 件 安装 信息 变化 不 记录 ， 不 审 ? 


区 
| 
尿 


(a) 基于 资产 使 用 生命 周期 分 析 

该 类 风险 涉及 入 网 前 、 运 行 阶 段 。 入 网 前 由 于 终端 资产 不 包含 敏感 信息 和 数据 ， 风 险 较 
低 。 入 网 后 ， 由 于 运行 过 程 中 涉及 敏感 信息 和 生产 数据 ， 如 果 不 加 以 控制 ， 导 致 的 损失 较 
大 ， 风 险 较 高 。 违 规 软 件 安装 的 风险 对 终端 的 影响 在 资产 使 用 生命 周期 的 体现 如 下 : 

风险 点 〈1-9): 违规 软件 在 终端 上 安装 ， 这 些 风 险 主 要 涉及 入 网 前 和 运行 阶段 。 维 修 和 
报废 阶段 ， 终 端 不 运行 ， 不 存在 该 类 风险 。 

入 网 前 ， 终 端 安 装 了 违规 软件 ， 只 会 对 终端 本 身 的 安全 市 来 一 些 风 险 ， 如 果 是 病毒 软 
件 ， 会 造成 终端 感染 的 风险 ; 如果 是 与 工作 无 关 的 软件 ， 会 影响 工作 效率 。 但 影响 的 范围 在 
终端 本 身 ， 不 会 对 整体 系统 造成 大 的 风险 ， 风 险 一 般 。 

终端 入 网 处 于 运行 阶段 后 ， 如 采 核 心 业务 主机 上 安 闻 了 下 载 软件 ， 因 为 下 载 ， 会 占用 大 
量 市 宽 ， 进 而 影 啊 业 务 运行 的 正常 通信 ， 风 险 较 高 ， 如 果 核 心 业务 主 机 上 安装 了 下 载 软件 ， 
如 有 果 下 载 到 了 病毒 程序 ， 会 导致 业务 主机 中 毒 ， 不 能 运行 ， 影 响 业 务 运 行 ， 风 险 较 高 ; 如果 
核心 业务 主机 上 安装 了 下 载 软件 ， 如 果 下 载 到 了 病毒 程序 ， 导 致 业务 主机 中 毒 ， 同 时 通过 网 
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络 ， 还 会 将 病毒 传播 到 整个 网 络 ， 风 险 较 高 ， 如 果 核 心 业 务 主机 上 安装 了 游戏 软件 ， 会 占用 
业务 主机 的 磁盘 空间 ， 同 时 ， 因 为 游戏 软件 的 运行 ， 会 消耗 主机 上 的 CPU 和 内 存 资源 ， 从 
而 影响 主机 业务 的 运行 ， 风 险 较 高 ;如 果 核 心 业务 主机 上 安装 了 播放 软件 ， 会 占用 业务 主机 
的 磁盘 空间 ， 同 时 ， 因 为 播放 软件 的 运行 ， 会 消耗 主机 上 的 CPU 和 内 存 资源 ， 从 而 影 啊 主 
机 业务 的 运行 ， 风 险 较 高 :如果 个 人 办 公 终 端 安装 了 下 载 软件 ， 如 条 下 载 到 了 病毒 程序 ， 导 
致 个 人 办 公 终 端 中 毒 ， 同 时 通过 网 络 ， 还 会 将 病毒 传播 到 整个 网 络 ， 风 险 较 高 ， 如 果 个 人 办 
公 终 端 安装 了 下 载 软件 ， 如 果 下 载 到 了 病毒 程序 ， 导 致 个 人 终端 中 毒 ， 影 响 个 人 日 常 工 作 的 
正常 开展 ， 风 险 较 高 ， 如 果 个 人 终端 安 逆 了 下 载 了 软件 ， 占 用 了 带宽 资源 ， 有 影响 其 他 用 户 的 
正常 网 络 使 用 ， 风 险 较 高 ; 如果 个 人 终端 安装 了 游戏 软件 ， 因 为 游戏 软件 的 安装 ， 影 响 正 各 
的 办 公 工 作 ， 同 时 ， 因 为 终端 上 运行 游戏 ， 会 降低 工作 效率 ， 风 险 较 蜗 ， 如 果 个 人 终端 安装 
了 电影 播放 软件 ， 会 影响 工作 效率 ， 同 时 电影 播放 软件 的 资源 会 占用 大 量 便 盘 空间 ， 因 而 影 
啊 工 作 开 展 ， 风 险 较 高 。 

风险 点 〈10-17): 必须 安 闭 的 软件 在 终端 上 没有 安装 ， 这 些 风 险 主 要 涉及 入 网 前 和 运行 
阶段 。 维 修 和 报废 阶段 ， 终 端 不 运行 ， 不 存在 该 类 风险 。 

在 入 网 前 阶段 ， 此 时 终端 未 接 入 网 络 ， 不 涉及 数据 传输 ， 必 须 安装 的 软件 安装 不 完全 ， 
只 会 影响 终端 本 里 的 使 用 ， 不 会 影响 体系 内 其 他 机 器 ， 风 险 比较 低 。 

终端 入 网 运行 后 ， 如 果 是 核心 业务 主机 ， 如 果 必 须 安 装 的 软件 安装 不 完整 ， 会 造成 核心 
业务 不 能 运行 ， 正 常 业务 无 法 开展 ， 如 采 是 个 人 终端 ， 会 导致 一 些 特定 的 工作 无 法 进行 ， 影 
啊 正 癌 工 作 的 开展 。 

风险 点 《18); 该 风险 主要 是 必须 安装 软件 列表 制定 方面 的 风险 ， 与 资产 生命 周 
期 无 关 。 

风险 点 (19-20); 这 两 个 风险 与 资产 入 网 运行 后 阶段 相关 。 资 产 入 网 前 ， 无 法 对 终端 上 
的 安装 软件 进行 检测 ， 与 该 阶段 无 关 。 在 资产 入 网 运行 后 ， 如 有 条 不 对 终端 软件 安装 的 变化 情 
况 记 录 和 告警 ， 会 出 现 终 端 用 户 随 意 变 更 终端 上 安装 的 软件 的 情况 ， 风 险 较 高 。 维 护 和 报废 
阶段 ， 终 端 不 运行 ， 无 法 检测 终端 软件 的 安 逆 情况 ， 不 存在 这 两 个 风险 。 

(b) 与 信息 安全 关系 

风险 点 〈1-9): 终端 上 安装 了 违规 软件 ， 违 规 软件 的 运行 ， 会 导致 正常 的 业务 进程 因为 
得 不 到 运行 所 需要 的 硬盘 、CPU、 内 存 等 资源 而 无 法 运行 ， 进 而 造成 正常 业务 的 不 可 用 。 对 
在 线 信息 而 言 ， 可 能 会 因为 缺少 必要 的 资源 造成 在 线 信息 得 不 到 及 时 的 处 理 和 存储 ; 同时， 
由 于 违规 软件 的 安装 运行 ， 会 开放 一 些 端 口 ， 进 而 造成 终端 上 的 一 些 在 线 信息 被 鳃 取 或 者 修 
改 ; 如 果 违 规 软 件 的 运行 ， 导 致 业务 主机 感染 病毒 或 木 号 ， 会 造成 在 线 信息 被 算 改 ， 风 险 非 
常 高。 违规 软件 的 安装 和 运行 ， 会 开放 一 些 端口 ， 进 而 造成 终端 上 的 一 些 存储 信息 被 贸 取 或 
者 修改 ;违规 软件 如 果 是 病毒 程序 ， 安 装 和 运行 后 ， 主 机 感染 病毒 或 木马 ， 会 造成 存储 信息 
感染 病毒 或 被 自 改 ， 风 险 非 常 融 。 

风险 点 〈10-17): 必须 安装 的 软件 如 果 没 有 安装 ， 取 决 于 软件 的 类 型 ， 如 有 果 是 防 病毒 软 
件 没有 安装 ， 会 导致 在 线 信 息 和 存储 信息 感染 的 风险 ， 风 险 较 高 ， 如 果 只 是 应 用 类 软件 ， 不 
安装 仅仅 是 影响 正常 工作 使 用 ， 不 会 对 在 线 信 息 和 存储 信息 造成 风险 。 

风险 点 〈18): 与 信息 安全 无 天 。 

风险 点 (19-20): 这 两 个 风险 对 信息 安全 的 影响 ， 同 样 取 雇 于 软件 的 类 型 ， 如 采用 
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户 违规 安装 了 软件 或 者 卸载 了 不 允许 卸载 的 软件 ， 会 对 在 线 信 息 和 存储 信息 带 来 泄漏 和 
算 改 的 风险 。 

(c) 基于 资产 使 用 人 分 析 〔( 外 来 人 员 、 临 时 工 、 内 部 人 员 ) 

风险 点 (1-9): 任何 岗位 角色 都 可 能 存在 在 终端 上 进行 违规 软件 安装 的 问题 。 因 此 ， 该 
风险 与 内 部 人 员 相 关 : 高 级 管理 岗位 ， 如 区 域 负责 人 等 高 层 领 导 ， 地 市 部 门 主 管 、 网 络 管理 
员 、 配 置 管理 员 、 系 统管 理 员 、 财 务 部 人 员 等 关键 岗位 业务 人 员 ， 开 发 人 员 、 研 发 人 员 等 ， 考 
虑 根据 业务 和 工作 需要 执行 相关 的 软件 安装 权限 。 临 时 人 员 : 辅助 人 员 岗 位 ， 如 食堂 、 车 队 、 
绿化 等 人 员 ， 该 类 人 员 在 使 用 终端 的 过 程 中 ， 一 般 不 应 允许 在 终端 上 安装 软件 。 外 来 人 员 : 外 
来 厂家 人 员 、 外 来 维护 人 员 一 般 情 况 下 ， 是 不 赋予 软件 安装 权限 的 ， 如 果 因 为 工作 需要 ， 需 要 
先 将 要 安装 的 软件 的 相关 情况 报批 ， 在 软件 安装 允许 列表 中 备案 后 ， 再 进行 软件 安装 。 

风险 点 〈10-17): 只 有 那些 在 终端 上 进行 软件 安装 的 人 员 才 有 软件 安装 的 控制 管理 权 ， 
必须 安装 的 软件 安装 不 完整 的 风险 与 人 员 无 关 ， 与 终端 的 类 型 相关 。 

风险 点 (18): 管理 制度 相关 ， 与 内 部 人 员 相 关 : 高 级 管理 岗位 ， 如 区 域 负责 人 等 高 层 
领导 ;地 市 部 门 主管 、 网 络 管理 员 、 配 置 管理 员 、 系 统管 理 员 、 财 务 部 人 员 等 关键 岗位 业务 
人 员 相 关 。 

风险 点 〈19-20): 同 风险 点 (1-9)。 

Cd) 合 规 性 要 求 

合 规 性 要 求 见 表 B-12。 


等 级 保护 〈 三 级 ) 要 求 符合 程度 


1 | 等 级 保护 中 没有 明确 对 违规 软件 安装 的 要 求 


该 风险 属于 运行 时 风险 ， 一 般 来 说 ， 一 个 终端 上 所 需要 安装 的 软件 ， 对 于 不 同类 型 的 
终端 来 说 ， 要 求 安装 的 软件 和 对 违规 软件 的 定义 不 尽 相 同 ， 与 实际 运 维 环境 密切 相关 。 等 级 
保护 方面 在 这 块 没有 明确 的 要 求 。 

相关 技术 和 管理 的 风险 管控 措施 参见 以 下 小 节 阐 述 。 

2， 风险 管控 

(1) 风险 点 (1-9):; 违规 软件 安装 检测 管理 流程 

事前 处 置 : 定义 违规 软件 的 范围 ， 哪 些 是 明确 不 允许 在 终端 上 安装 的 软件 。 这 个 违规 软 
件 列表 是 随 着 运 维 过 程 变 化 而 变化 的 ， 不 同类 型 的 终端 上 上 ， 违 规 软件 的 定义 不 尽 相 同 。 

事 中 处 置 : 

v 定时 检测 终端 上 安装 的 软件 列表 

v 将 获取 的 软件 列表 与 事前 定义 的 违规 软件 列表 进行 比较 

v 如 果 有 违规 软件 之 列 的 软件 安装 ， 提 示 用 户 安装 了 违规 软件 (通知 终端 用 户 ， 消 息 

的 方式 ) 

v 根据 违规 软件 策略 执行 操作 ， 提 示 终 端 使 用 者 ， 并 且 发 送 防护 平台 

v 记录 违规 软件 安装 的 行为 及 终端 使 用 者 的 操作 ， 发 送 至 防护 平台 服务 器 

事后 处 置 : 根据 整体 安全 态势 分 析 ， 调 整 安全 策略 ， 针 对 终端 下 发 新 的 违规 软件 安装 运 


214 


终端 安全 运行 风险 附 尝 B 
行 安全 策略 。 
处 置 流 程 见 图 B-18。 


违规 软件 安装 管理 控制 流程 


< 事前 阶段 > 


终端 是 全 安装 了 
违规 软件 


| 风险 分 析 


是 否 提示 终端 印 载 


违规 软件 
违规 行为 取 征 
终端 用 户 操作 (违规 安装 / 印 载 


的 原始 记录 ) 


< 事 中 阶段 > 


< 事后 阶段 > 


pe 和 


图 。B-18 


(2) 风险 点 《10-17): 必须 安装 软件 检测 管理 流程 

事前 处 置 : 定义 必须 安装 的 软件 列表 ， 不 同类 型 的 终端 上 ， 必 须 安 闭 的 软件 不 尽 相 同 ， 
必须 安装 的 软件 列表 是 随 独 运 维 过 程 变化 而 变化 的 。 

事 中 处 置 : 

v 定时 检测 终端 上 安装 的 软件 列表 
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v 将 获取 的 软件 列表 与 事前 定义 的 必须 安装 的 软件 列表 进行 比较 
v 如 果 有 必须 安装 的 软件 没 安 装 ， 提 示 用 户 软件 安装 不 完整 《通知 终端 用 户 ， 消 息 的 
方式 ) 

v 根据 软件 分 发 策略 执行 操作 ， 提 示 终 端 使 用 安装 必 装 软件 ， 并 且 发 送 防护 平台 

v 记录 软件 安装 不 完整 的 终端 及 软件 信息 ， 发 送 全 防护 平台 服务 器 

事后 处 置 : 根据 整体 安全 态势 分 机， 调整 安全 策略 ， 针 对 终端 下 发 新 的 软件 分 发 安 
全 集 略 。 

处 置 流 程 见 图 B-19。 


必须 安装 软件 检测 管理 流程 


< 事前 阶段 > 


风险 分 析 


软件 安装 不 完整 
违规 行为 审计 记录 


违规 行为 取证 
(违规 访问 的 
原始 记录 ) 


终端 用 户 操作 


审计 的 方式 : 违规 安装 以 通知 的 方式 通知 终端 


ma 
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新 的 安全 策略 


软件 最 多 的 终端 ， 使 用 人 ， 


所 在 部 门 等 信息 


调整 安全 策略 


图 B-=-19 


用 户 及 相关 负责 人 ， 提 
示 及 时 整改 


关联 分 析 


终端 安全 运行 风险 附 尝 B 


(3) 风险 上 (19-20): 终端 软件 安 半 变化 审计 和 告警 管理 流程 
事 中 处 置 : 
w 发 现 终端 软件 安 状 情况 有 变化 时 ， 记 录 软 件 变 化 的 审计 记录 ， 保 存 人 至 防护 平台 服务 
俐 。 同 时 以 告警 的 方式 通知 安全 管理 员 和 终端 使 用 者 
v 对 安装 违规 软件 的 行为 进行 取证 《违规 软件 的 名 称 、 违 规 软件 安装 的 终端 、 终 端 使 
用 者 、 终 端 P 等 原始 记录 信息 )， 保 存 至 防护 平台 服务 需 
v 对 违规 芭 载 软件 的 行为 进行 取证 《〈 炙 载 的 是 必须 安装 软件 列表 中 的 软件 ， 被 务 载 的 
必须 安装 的 软件 的 名 称 、 终 端 使 用 者 、 终 端 卫 等 原始 记录 信息 )， 保 存 至 防护 平台 服 
务 骨 
事后 处 置 : 管理 员 通过 霹 规 软件 安装 和 必须 安装 软件 的 卸载 记录 对 随意 改变 终端 软件 安 
装 的 情况 进行 退 溯 ， 并 通过 管理 流程 进行 相应 的 处 罚 ， 处 昼 时 以 防护 平台 保存 的 访问 原始 记 
录 作为 处 神 依 据 。 
(4) 风险 点 〈18): 必须 安 闭 软件 的 检测 ， 不 能 用 己 有 的 必须 安装 软件 列表 来 检测 ， 导 
致 必须 安 逆 的 软件 检测 无 法 进行 ， 属 于 残余 风险 处 理 的 内 容 。 
安装 软件 的 黑白 名 单 是 需要 根据 实际 情况 调整 的 ， 具 体 的 黑白 名 单 需要 在 运 维 中 确定 ; 
实施 初期 ， 可 能 出 现 一 些 违规 软件 的 安装 。 
w 具体 的 违规 软件 名 单 需要 在 运 维 中 确定 ; 实施 初期 ， 违 规 软件 的 内 容 可 能 不 完整 
v 在 违规 软件 内 容 还 不 完整 时 ， 一 些 违规 软件 会 在 终 痢 上 被 安 状 但 不 能 检测 出 来 。 一 
些 违规 软件 如 果 是 病毒 软件 ， 会 造成 终端 感染 ， 如 果 病 毒 继续 传播 ， 将 感染 其 他 终 
端 ， 风 险 较 高 
v 在 违规 软件 内 容 还 不 完整 时 ， 一 些 违规 软件 会 在 终端 上 被 安 帮 但 不 能 检 训 出 来 。 一 
些 违规 软件 如 果 是 开机 就 自动 运行 的 软件 ， 会 占用 大 量 资源 ， 导 致 正常 工作 软件 所 
需要 的 资源 使 用 得 不 到 保证 ， 从 而 影响 正常 的 工作 开展 ， 风 险 较 融 
因此 ， 尽 管 部 普 了 完备 的 检 调 和 管理 撤 术 手段 ， 但 违规 软件 名 单 是 需要 根据 运 维 情况 随 
时 改进 的 ， 如 果 这 个 软件 违规 名 单 不 及 时 更 新 ， 违 规 软件 安装 的 风险 继续 存在 。 
针对 该 问题 ， 建 议 增加 以 下 几 方 面 工作 : 
w 加 强 安全 意识 培训 和 教育 ， 加 强 违规 软件 名 单 的 建设 工作 
v 注意 违规 软件 名 单 内 容 的 与 时 俱 进 工作 ， 及 时 根据 运 维 情况 ， 调 整 违规 软件 的 详细 
内 容 
v 提供 制度 保障 ， 要 求 定期 对 违规 软件 的 内 容 进行 检查 和 更 新 
v 建立 定期 检查 和 整改 制度 ， 定 期 对 组 织 内 违规 软件 的 更 新 情况 进行 检查 ， 并 督促 其 
整改 
v 设立 针对 违规 软件 安装 的 考核 管理 措施 ， 将 该 项 工作 作为 终端 使 用 人 、 终 端 所 有 单 
位 安全 工作 考评 中 的 考核 指标 
3. 技术 管控 中 存在 的 问题 和 对 策 
如 果 终 端 操作 系统 有 错误 ， 其 安装 的 软件 信息 可 能 无 法 获取 ， 会 造成 无 法 控制 ， 需 要 移 
修复 操作 系统 ， 保 证 其 安装 的 软件 信息 可 获取 ， 一 些 违规 软件 ， 如 果 安 装 信息 不 写 入 注册 表 
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或 其 他 配置 文件 ， 可 能 无 法 获取 其 安装 信息 ， 也 不 能 将 其 与 违规 软件 比 对 。 可 能 会 存在 软件 
安装 信息 遗漏 的 情况 ， 目 前 暂 无 解决 的 方法 ， 但 是 该 类 软件 一 旦 在 终端 上 运行 ， 可 以 通过 进 
程 /服务 监控 手段 监控 到 ， 具 体 管控 措施 参见 B.3.1 节 ， 

4， 风 险 控制 效果 

通过 软件 安装 信息 检测 ， 可 以 监控 终端 违规 软件 的 安装 情况 。 从 而 能 够 保证 终端 安装 必 
需 的 软件 ， 能 够 保证 终端 不 安装 禁止 使 用 的 软件 ， 能 够 保证 网 络 带宽 不 被 下 载 软件 占用 ， 管 
理 员 可 以 设置 查询 条 件 对 软件 安装 情况 进行 统计 。 同 时 ， 可 以 对 违规 安装 软件 的 终端 责任 人 
进行 记录 ， 可 以 给 后 续 的 考评 管理 提供 依据 。 


B.2.3 ”异常 资源 占用 的 风险 (19 个 风险 点 ) 


1. 风险 分 析 
(1) 风险 描述 
终端 本 身 资源 包括 CPU、 内 存 和 磁盘 存储 空间 等 。 终 端正 党 
会 在 一 个 正常 范围 内 。 安 装运 行 的 业务 或 应 用 软件 过 多 、 病 毒 感 
导致 终端 的 某 种 资源 占用 率 持 续 过 高 ， 影 响 正 常 的 业务 开展 。 
终端 设备 在 运行 一 段 过 程 后 ， 常 常 由 于 运行 软件 过 多 ， 大 量 消 耗 内 存 和 CPU 资源 ， 如 
果 不 能 有 效 监控 硬件 资源 使 用 情况 ， 适 时 给 用 户 提示 告警 ， 可 能 导致 机 器 运行 速度 较 慢 ， 甚 
至 业务 服务 无 法 运行 。 人 硬盘 的 剩余 空间 也 需要 随时 监控 ， 如 果 运 行 了 关键 业务 的 主机 硬盘 空 
间 不 够 ， 导 致 数据 不 能 存储 ， 会 有 业务 数据 丢失 和 业务 不 能 正常 运行 的 风险 。 
CPU 使 用 率 : 表示 系统 资源 的 调用 情况 ， 如 果 利 用 率 高 就 说 明 系 统 资 源 调 取 繁忙 ， 会 造 
成 电脑 运行 反应 缓慢 。 常 见 的 引起 CPU 使 用 率 高 的 因素 有 : 
w 终端 上 的 驱动 没有 经 过 认证 ， 造 成 CPU 资源 占用 100%。 大 量 测试 版 的 驱动 在 网 上 
泛滥 ， 造 成 了 难以 发 现 的 故障 原因 
v 防 、 杀 毒 软件 造成 故障 。 由 于 一 些 防 、 杀 毒 软件 的 运行 ， 加 入 了 对 网 页 、 插 件 、 邮 
件 的 随机 监控 ， 增 大 了 系统 负担 。 可 以 根据 情况 有 选择 地 开启 服务 
v 病毒 、 木 马 造 成 。 大 量 的 蠕虫 病毒 在 系统 内 部 迅速 复制 ， 造 成 CPU 资源 占用 率 居 高 
不 下 
内 存 使 用 率 : 一 般 来 说 ， 内 存 使 用 率 超 过 85%， 会 认为 内 存 使 用 率 高 。 
磁盘 剩余 空间 : 终端 上 可 用 的 磁盘 空间 大 小 。 随 着 终端 运行 中 的 数据 存储 ， 以 及 所 产生 
的 垃圾 文件 ， 磁 盘 的 可 用 空间 会 越 来 越 小 ， 如 果 磁 盘 空 间 过 低 ， 会 造成 操作 系统 运行 速度 的 
减 慢 ， 影 响 系 统 使 用 。 安 全 的 磁盘 剩余 空间 大 小 需要 根据 实际 情况 确定 ， 对 于 主要 用 于 数据 
存储 的 终端 设备 ， 对 磁盘 剩余 空间 要 求 的 值 较 大 。 对 于 普通 终端 设备 ， 则 对 磁盘 剩余 空间 要 
求 的 值 没有 那么 高 。 
备注 : 各 项 资源 具体 的 浆 值 需要 结合 实际 情况 确定 。 
(2) 相关 风险 点 
异常 资源 占用 的 风险 点 详 见 表 B-13。 


运行 时 ， 各 项 资源 的 使 用 率 
染 或 遭受 攻击 时 ， 都 可 能 会 
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表 B-13 异常 资源 占用 风险 的 风险 点 列表 〈 共 19 点 ，12 个 原生 风险 、4 个 次 生 风 险 、3 个 残余 风险 ) 


终端 CPU 使 用 率 持续 让 隐患 
终端 CPU 使 用 示 终端 用 户 隐患 
终 | 原生 风险 。 | 风险 
终端 内 存 使 用 没有 按照 风险 
没有 提示 终端 用 记 隐患 


拓 - 十 位 息 没 鲜 ' 提 原 人 人 
进程 /服务 审计 信息 没有 上 报 管理 原生 风险 风险 


运行 的 风险 终 庆 会 空 | 没有 按照 设 定 的 阔 值 ， 以 产生 告警 原生 风险 ”| 风险 


没有 提示 终端 用 广 


当 终 端 CPU 使 用 率 持续 过 高 时 ， 将 CPU 率 高 的 进程 信息 上 | 、 
当 终端 CPU 使 用 率 持续 过 各 时 ， 将 占用 率 高 的 进程 人 次 生 风险 风险 


E 员 ， 管 理 员 禁止 了 该 进程 ， 但 该 进程 不 应 禁 


;内 存 使 用 率 过 高 时 ， 将 内 存 占用 率 高 的 进程 信息 上 报 管理 | ，，， 、 
管理 员 禁 用 了 该 进程 ， 但 该 进程 不 应 禁 上 Ne Ee 
4 终端 磁 盘 剩余 空间 不 足 时 ， 将 磁盘 空间 不 足 的 信息 上 报 了 管理 | 、， 。。 

曲 员 对 磁盘 空间 进行 了 清理 ， 删 除了 一 些 不 能 删除 的 文件 | 次 生 风 险 。 | 风险 


应 磁盘 剩余 空间 不 足 时 ， 将 磁盘 空间 不 足 的 信息 上 报 了 管理 | 、， 


对 终端 的 CPU 使 用 率 进 行 了 监控 ， 但 由 于 终端 操作 系统 的 问题 
获取 的 CPU 使 用 率 信 息 不 准确 


对 终端 的 内 存 用 率 进行 了 监控 ， 但 由 于 终端 操作 系统 的 问题 ， 获 


残余 风险 隐患 


残余 风险 隐患 


取 的 内 存 使 用 率 信息 不 准确 


对 终端 的 磁盘 空间 进行 了 监控 ， 但 由 于 操作 系统 的 问题 ， 获 取 的 


磁盘 剩余 空间 信息 不 准确 残余 风险 | 


(a) 基于 资产 使 用 生命 周期 分 析 

资产 使 用 生命 周期 包含 : 入 网 前 、 运 行 阶段 、 维 修 阶段 、 报 废 阶段 ， 异 党 资 源 占 用 的 风 
险 对 终端 的 影响 在 资产 使 用 生命 周期 的 体现 如 下 : 

风险 点 (1-4): 终端 CPU 使 用 率 持 续 高 ， 这 些 风险 主要 涉及 入 网 前 和 运行 阶段 。 维 修 
和 报废 阶段 ， 终 端 不 运行 ， 不 存在 该 类 风险 。 入 网 前 ， 终 端 CPU 使 用 率 持续 高 ， 只 会 影响 
终端 本 身 的 运行 ， 对 整体 系统 不 会 造成 大 的 风险 ， 此 时 风险 较 低 。 终 端 入 网 后 ， 如 果 该 终端 
的 CPU 使 用 率 持 续 高 ， 导 致 终端 正常 的 工作 不 能 开展 ， 风 险 较 高 ， 如 果 终 端 运行 了 关键 业 
务 ， 则 风险 更 高 。 

风险 点 〈5-8): 终端 内 存 使 用 率 持 续 高 ， 这 些 风险 主要 涉及 入 网 前 和 运行 阶段 。 维 修 和 
报废 阶段 ， 终 端 不 运行 ， 不 存在 该 类 风险 。 入 网 前 ， 终 端 内 存 使 用 率 持 续 高 ， 只 会 影响 终端 
本 身 的 运行 ， 对 整体 系统 不 会 造成 大 的 风险 ， 此 时 风险 较 低 。 终 端 入 网 后 ， 如 果 内 存 使 用 率 
持续 过 高 ， 会 导致 一 些 进 程 和 服务 得 不 到 必需 的 内 存 资 源 ， 不 能 正常 运行 ， 进 而 影响 业务 的 
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正常 进行 ， 风 险 较 高 。 

风险 点 9-12): 磁盘 剩余 空间 持续 不 足 ， 这 些 风 险 主要 涉及 入 网 前 和 运行 阶段 。 维 修 
和 报废 阶段 ， 终 端 不 运行 ， 不 存在 该 类 风险 。 入 网 前 ， 终 端 磁盘 剩余 空间 不 足 ， 只 会 影响 终 
端 本 身 的 磁盘 存储 ， 对 整体 系统 不 会 造成 大 的 风险 ， 此 时 风险 较 低 。 终 端 入 网 进入 运行 阶段 
后 ， 如 果 硬 盘 占 用 率 持续 过 高 ， 会 导致 一 些 进程 和 服务 得 不 到 必需 的 硬盘 空间 ， 运 行 数 据 得 
不 到 正常 的 存储 ， 进 而 影响 业务 的 正常 进行 ， 风 险 较 高 ， 

风险 点 (13-14): 这 两 个 风险 主要 涉及 运行 阶段 ， 对 占用 CPU 和 内 存 资源 比较 高 的 进 
程 ， 管 理 员 去 禁止 ， 但 系统 不 允许 禁止 ， 进 程 占用 的 资源 不 能 释放 ， 进 而 影响 终端 其 他 进程 
/服务 的 运行 ， 风 险 高 。 

风险 点 (15); 这 个 风险 主要 涉及 入 网 前 阶段 和 运行 阶段 ， 入 网 前 对 磁盘 剩余 空间 不 足 
的 终端 进行 删除 一 些 文件 的 操作 ， 只 会 影响 终端 本 身 ， 风 险 较 低 。 如 果 是 运行 阶段 ， 且 终端 
上 存储 的 信息 是 关键 信息 ， 对 终端 进行 文件 删除 、 磁 得 空间 清理 ， 会 造成 重要 信息 丢失 的 风 
险 ， 风 险 高 。 

风险 点 (16): 这 个 风险 主要 涉及 入 网 前 阶段 和 运行 阶段 ， 入 网 前 对 磁盘 剩余 空间 不 足 
的 终端 进行 改变 文件 路 径 的 操作 ， 只 会 影响 终端 本 身 ， 风 险 较 低 。 如 果 是 运行 阶段 ， 且 终端 
上 存储 的 信息 是 关键 信息 ， 对 终端 上 的 文件 进行 改变 文件 路 径 的 操作 ， 如 果 改 变 的 路 径 在 对 
应 的 系统 中 没有 进行 记录 ， 会 造成 信息 缺失 的 风险 ， 风 险 较 高 ， 

风险 点 (17-19)， 这 些 风险 主要 涉及 运行 阶段 ， 在 运行 阶段 过 程 中 ， 如 果 这 些 资源 占用 
这 息 不 能 准确 获取 ， 将 不 能 进行 对 应 的 管控 操作 ， 风 险 较 高 。 一 般 情况 下 ， 不 会 出 现 这些 风 
险 ， 但 不 排除 系统 不 正常 的 时 候 这 些 风险 出 现 。 

(b) 与 信息 安全 的 关系 

异常 资源 占用 风险 涉及 在 线 信息 安全 风险 和 存储 信息 风险 。 

风险 点 (14)， CPU 占用 率 过 高 ， 会 导致 正常 的 业务 进程 因为 得 不 到 运行 所 需要 
的 CPU 资源 而 无 法 运行 ， 进 而 造成 业务 不 可 用 。 对 在 线 信息 而 言 ， 可 能 会 因为 缺少 必要 的 
资源 造成 在 线 信息 得 不 到 及 时 的 处 理 和 存储 ， 对 已 经 在 终端 上 存储 的 信息 而 言 ， 信 息 已 经 在 
存储 状态 ， 影 响 不 大 ， 

风险 点 (5-8); 内 存 占用 率 过 高 ， 会 导致 正常 的 业务 进程 因为 得 不 到 运行 所 需要 的 内 存 
资源 而 无 法 运行 ， 进 而 造成 业务 不 可 用 。 对 在 线 信息 而 言 ， 可 能 会 因为 缺少 必要 的 资源 造成 
在 线 信息 得 不 到 及 时 的 处 理 和 存储 ， 对 已 经 在 终端 上 存储 的 信息 而 言 ， 信 息 已 经 在 存储 状 
态 ， 影 响 不 大 ， 

风险 点 (9-12): 磁盘 剩余 空间 不 够 ， 会 导致 正常 的 业务 进程 因为 得 不 到 运行 所 需要 的 
硬盘 资源 而 无 法 运行 ， 进 而 造成 业务 不 可 用 。 对 在 线 信息 而 言 ， 可 能 会 因为 缺少 必要 的 资源 
造成 在 线 信息 得 不 到 及 时 处 理 和 存储 ， 对 已 经 在 终端 上 存储 的 信息 而 言 ， 信 息 已 经 在 存储 状 
态 ， 影 响 不 大 ， 

风险 点 (13-14): 这 两 个 风险 主要 是 对 占用 资源 高 的 进程 处 理 ， 如 果 处 理 的 进程 与 在 线 
庆 息 相关 ， 比 如 进程 涉及 数据 存储 ， 对 在 线 信息 有 影响 ， 如 果 进 程 与 信息 存储 无 关 ， 对 在 线 
信息 影响 不 大 。 对 已 存储 的 信息 无 影响 。 

风险 点 (15); 对 磁盘 空间 进行 清理 ， 删 除 不 能 删 的 文件 时 ， 如 果 删 的 文件 是 正在 处 理 
的 在 线 文件 ， 会 不 允许 删除 ， 不 存在 影响 。 如 果 是 存储 信息 ， 则 会 造成 文件 误 删 的 风险 ， 风 
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险 较 高 。 

风险 点 〈16): 对 磁盘 空间 进行 清理 ， 改 变 一 些 文件 的 路 径 时 ， 如 果 改 变 路 径 的 是 正在 
处 理 的 在 线 文件 ， 会 不 允许 改变 路 径 ， 不 存在 影响 。 如 果 是 存储 信息 ， 对 改变 的 路 径 需 要 记 
录 在 案 ， 以 便 后 续 的 文件 再 用 ， 风 险 较 低 。 

风险 点 (17-19); 不 能 获取 资源 的 使 用 率 情 况 ， 与 后 续 的 控制 有 关 ， 与 在 线 信息 和 存储 
信息 无 关 。 

(Cc) 基于 资产 使 用 人 分 析 

该 类 风险 与 人 员 分 类 没有 明显 的 关系 ， 主 要 取决 于 终端 的 使 用 目的 ， 如 果 终 端 运行 了 关 
键 业 务 ， 而 关键 业务 所 需要 的 资源 义 得 不 到 满足 ， 则 会 风险 较 高 ， 对 资源 使 用 率 持 续 过 高 的 
终端 需要 采取 相应 的 预警 机 制 ， 以 保证 终端 资源 的 使 用 率 始 终 控制 在 一 个 合理 的 范围 内 。 

Cd) 合 规 性 要 求 

合 规 性 要 求 见 表 B-14。 


原 号 双全 等 级 保护 〈 三 级 ) 要 求 符合 程度 


的 要 求 


该 风险 属于 运行 时 风险 ， 对 于 异常 资源 占用 的 有 具体 定义 ， 等 级 保护 方面 在 这 块 没 有 明 
确 的 要 求 。 需 要 结合 实际 运 维 的 情况 不 断 修 正 异 常 占用 率 ， 从 而 及 时 解决 终端 中 的 异常 资源 
占用 问题 。 

相关 技术 和 管理 的 风险 管控 措施 参见 以 下 小 节 阐 述 。 

2， 风 险 管控 

每 类 风险 在 管控 过 程 中 ， 针 对 风险 的 事前 、 事 中 和 事后 3 种 状态 进行 监控 ， 做 到 事前 预 
防 、 事 中 控制 、 事 后 审计 追查 。 下 面 的 风险 管控 处 理 流 程 ， 尽 量 从 事前 、 事 中 和 事后 3 方面 
对 风险 进行 管控 。 

(1) 风险 点 (1-4): 终端 CPU 使 用 率 异 常 检 测 管理 流程 

事前 处 置 : 定义 CPU 使 用 率 异 常 的 范围 ， 不 同 的 业务 终端 上 ，CPU 使 用 率 异 常 的 定义 
不 尽 相 同 ， 一 般 而 言 ，CPU 使 用 率 持 续 在 90% 以 上 并 且 超 过 10 s 可 称 为 异常。 

事 中 处 置 : 

定时 监测 运行 终端 上 CPU 使 用 京 的 情况 

v 设 定 CPU 有 异常 的 使 用 率 范 围 

v 如 果 终 端 CPU 使 用 率 超 过 设 定 的 立 值 ， 提 示 用 户 CPU 使 用 率 异 常 〈 通 知 终端 用 户 ， 

消息 的 方式 ) 

v 根据 CPU 使 用 率 异 常 策略 执行 操作 ， 提 示 终 端 使 用 者 ， 并 且 发 送 防护 平台 

v 记录 CPU 使 用 率 异 常 的 终端 使 用 行为 及 终端 使 用 者 的 操作 ， 发 送 至 防护 平台 服务 器 

事后 处 置 : 根据 整体 安全 态势 分 析 ， 调 整 安 全 策略 ， 针 对 终端 下 发 新 CPU 异常 监控 策 
略 ， 查 看 持续 高 占用 CPU 资源 的 进程 ， 采 取 禁 用 进程 或 者 关闭 不 必要 的 任务 的 方式 ， 降 低 
CPU 使 用 率 。 

流程 图 见 图 B-20。 
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终端 CPU 使 用 率 异 常 检测 管理 流程 


编制 CPU 异常 策略 


| 
终端 CPU 使 用 
率 超过 国 值 与 下 
CPU 使 用 率 告警 命 4 
| 区 i 


< 事前 阶段 > 


提示 终端 CPU Was 


使 用 率 异常 


币 


终端 用 户 操作 


一 一 


图 B-20 


(2) 风险 点 〈5-8): 终端 内 存 使 用 率 卉 秆 检测 管理 流程 
事前 处 置 : 定义 内 存 使 用 紊 异常 的 范围 ， 不 同 的 业务 终端 上 ， 内 存 使 用 率 异 第 的 定义 不 


< 事 中 阶段 > 


事后 阶段 > 


< 


尽 相 同 ， 一 般 而 言 ， 内 存 使 用 率 持续 90% 以 上 并 且 超 过 10s 可 称 为 异常 。 
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事 中 处 置 : 

v 定时 监测 运行 终端 上 内 存 使 用 率 的 情况 

设 定 终端 内 存 的 使 用 率 范 转 

如果 终 端 内 存 使 用 率 超过 设 定 的 国 值 ， 提 示 用 户 内 存 使 用 率 异 常 〈 通 知 终端 用 户 ， 
消息 的 方式 ) 

v 根据 内 存 使 用 率 异 党 策略 执行 操作 ， 提 示 终 并 使 用 者 ， 并 且 发 送 防护 平台 

v 记录 内 存 使 用 率 异 常 的 终端 使 用 行为 及 终端 使 用 者 的 操作 ， 发 送 至 防护 平台 服务 器 

事后 处 置 : 根据 整体 安全 态势 分 析 ， 调 整 内 存 监控 集 略 ， 针 对 终端 下 发 新 的 内 存 监 控 集 
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略 ， 碍 看 终端 上 持续 高 占用 内 存 资 源 的 服务 或 进程 ， 采 取 芭 用 茶 些 服务 和 进程 的 方式 ， 降 低 
终端 上 的 内 存 占用 情况 ， 以 保证 关键 业务 的 内 存 使 用 需要 。 
流程 图 见 图 B-21。 


终 六 内 存 使 用 率 异常 检测 管理 过 


程 
《内 存 使 用 率 异 常规 定 》 


内 存 异 常 策略 


< 事前 阶段 > 


用 端 内 存 使 用 率 
超过 阔 值 与 否 


提示 终端 内 存 
使 用 率 异 常 


终端 用 户 操作 


ee 


图 B-21 


< 事 中 阶段 > 


< 事后 阶段 > 


(3) 风险 点 (9-12): 终端 磁盘 剩余 空间 不 足 检测 管理 流程 

事前 处 置 : 定义 硬盘 剩余 空间 不 足 的 最 低 值 ， 不 同 的 业务 终端 ， 不 同 的 盘 符 下 ， 对 最 低 
人 硬盘 剩余 空间 的 要 求 不 尽 相 同 。 一 般 而 言 ， 对 操作 系统 所 在 的 盘 竺 和 应 用 数据 所 存储 的 盘 符 
剩余 空间 要 求 不 尽 相 同 。 还 需要 考虑 终端 用 户 数据 增长 的 情况 ， 对 不 同 的 终端 制定 不 同 的 最 
低 剩 余 硬 盘 空 间 值 。 

事 中 处 置 : 
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定时 监测 运行 终端 上 硬盘 各 盘 符 的 剩余 空间 的 情况 
设 定 终端 剩余 空间 不 中 的 最 低 阔 值 
如 果 终端 硬盘 剩余 空间 低 于 设 定 的 的 阔 值 ， 提 示 用 户 剩余 硬盘 空间 不 足 〈 通 知 终端 
用 户 ， 消 息 的 方式 ) 

v ”根据 硬盘 空间 不 足 策略 执行 操作 ， 提 示 终端 使 用 者 ， 并 且 发 送 防护 平台 

v ”记录 硬盘 空间 不 足 的 终端 使 用 行为 及 终端 使 用 者 的 操作 ， 发 送 至 防护 平台 服务 器 

事后 处 置 ， 根 据 整体 安全 态势 分 析 ， 调 整 硬盘 空间 监控 策略 ， 针 对 终端 下 发 新 的 硬 
得 监控 策略 ， 查 看 终端 上 硬盘 空间 不 足 的 盘 符 ， 是 否 有 垃圾 数据 ， 如 果 有 垃圾 数据 ， 采 
取 及 时 清除 的 方法 ， 如 果 是 运行 数据 保存 所 需 ， 看 是 否 可 以 做 数据 迁移 ， 以 保证 有 足够 
的 空间 供 运 行使 用 ， 或 者 采取 追加 磁盘 空间 的 方式 ， 以 保证 有 足够 的 磁盘 空间 来 保证 终 
端正 常 运行 。 

流程 图 见 图 B-22。 


^ 人 人 < 


终端 磁盘 剩余 空间 不 足 检测 管理 流程 


终 帆 使 用 者 


磁盘 空间 编制 磁盘 空间 
不 足 策 略 不 足 策略 


《终端 磁盘 最 小 剩余 
空间 规定 》 


< 事前 阶段 > 


人 磁盘 空间 是 否 低 于 
设 定 的 国 值 


磁盘 空间 上 


提示 终端 


四 


图 B-22 


< 事 中 阶段 > 


新 的 安全 策略 


事后 阶段 > 


< 
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(4) 风险 点 (13): 对 CPU 占用 率 异 常 的 进程 处 理 流程 


事 中 处 置 ; 
v 发 现 终端 CPU 使 用 率 持续 过 高 时 ， 记 录 终 端 CPU 使 用 率 的 情况 ， 保 存 至 防护 平台 
服务 器 


vv 对 持续 占用 CPU 资源 过 高 的 进程 和 服务 进行 行为 取证 (占用 高 CPU 使 用 率 的 进 
程 、 进 程 名 称 、CPU 使 用 率 持 续 高 的 终 问 、 终 端 使 用 者 、 终 端正 等 原始 记录 信 
恩 )， 保 存 全 防护 平台 服务 器 
事后 处 置 : 管理 员 通过 CPU 持续 过 高 的 记录 对 终端 上 的 CPU 使 用 率 情 况 退 滴 ， 发 现 持 
续 占 用 CPU 资源 的 终端 上 的 进程 或 服务 ， 并 通过 发 送 通 知 给 终端 用 户 ， 建 议 其 停止 占用 过 
高 CPU 资源 的 进程 的 运行 ， 如 果 该 进程 不 允许 停止 运行 (核心 业务 所 需 )， 定 位 CPU 资源 
高 占用 的 原因 ， 排 查 问题 ， 将 CPU 使 用 率 降 到 一 个 合理 的 范围 。 
流程 图 见 图 B-23。 


终端 磁盘 剩余 空间 不 足 检测 管理 流程 


< 事前 阶段 > 


终端 CPU 使 用 率 监测 


使 用 率 超过 国 值 的 检查 


违规 行为 取证 
(持续 高 占用 CPU 资源 
的 进程 ) 


< 事 中 阶段 > 


ee 审计 的 方式 以 通知 的 方式 通知 终 
2 \ 一 是 

0 CPU 使 用 率 持续 过 高 端 用 户 及 相关 负责 人 ， 
通知 整改 的 终端 提示 及 时 整改 


< 事后 阶段 > 


图 。B-23 
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(5) 风险 点 (14-16): 对 内 存 使 用 率 和 磁盘 剩余 空间 检测 的 流程 与 风险 点 13 的 流程 图 
类 似 ， 此 处 不 再 袭 述 。 

(6) 风险 点 (17-19) 

事前 处 置 : 目前 主要 通过 获取 Windows 操作 系统 获取 终端 上 各 项 资源 的 使 用 情况 ， 如 
果 终 端 操作 系统 有 错误 ， 其 资源 使 用 率 信息 可 能 无 法 获取 ， 从 而 影响 后 续 的 资源 控制 策略 和 
相关 告警 。 

事 中 处 置 : 需要 先行 修复 操作 系统 ， 保 证 终端 的 资源 使 用 率 信息 可 正确 获取 。 

事后 处 置 : 在 获取 的 无 误 的 终端 资源 使 用 率 数据 基础 上 上， 进行 资源 异常 的 检测 和 控制 
流程 。 

3. 风险 控制 效果 

通过 对 资源 使 用 率 的 有 效 监控 ， 也 能 够 有 效 避 人 免 由 于 资源 使 用 率 过 高 而 导致 终端 过 慢 ， 
影响 业务 正常 运行 的 情况 发 生 。 

资源 占用 率 异 常 是 一 个 动态 的 过 程 ， 实 施 前 闵 值 的 确定 需要 根据 实际 使 用 的 需要 来 确 
定 ; 在 对 终端 资源 使 用 率 进 行 风 险 管理 的 时 候 存 在 这 样 的 情况 : 


v 一 些 进 程 本 里 占用 的 资源 就 会 更 而 ， 如 果 频 繁 对 这 些 进程 检测 ， 会 影响 系统 的 工作 
效率 和 进程 的 使 用 


v 一 些 资源 异常 使 用 的 信息 报 给 管理 员 后 ， 也 未 得 到 及 时 的 关注 和 处 理 

因此 ， 尽 管 部 普 了 完备 的 检 训 和 管理 技术 手段 ， 却 会 因 人 的 操作 习惯 和 安全 意识 造成 异 
常 资源 占用 的 风险 继续 存在 。 

针对 该 问题 ， 建 议 增加 以 下 几 方 面 工作 : 

w 加 强 安全 意识 塔 训 和 教育 ， 使 终端 用 户 意 识 到 保持 合理 资源 使 用 率 的 重要 性 ， 督 促 

其 定期 关注 终端 的 各 项 资源 使 用 率 的 情况 
v 提供 制度 保障 ， 要 求 用 户 将 终端 各 项 资源 的 使 用 率 控制 在 一 个 合理 范围 内 
v 建立 定期 检查 和 整改 制度 ， 定 期 对 组 织 内 终端 资源 异常 使 用 的 状况 进行 集中 检查 ， 


集中 整改 
B.2.4 操作 系统 用 户 管理 的 风险 (20 个 风险 点 ) 
1. 风险 分 析 


(1) 风险 描述 

终端 操作 系统 中 ， 维 护 着 一 定数 量 的 操作 系统 用 户 ，Windows 系统 作为 一 个 多 用 户 操作 
系统 ， 人 允许 多 个 用 户 共 同 使 用 一 台 计 算 机 ， 而 用 户 账号 就 是 用 户 进入 系统 的 出 入 证 。 用 户 账 
号 一 方面 为 每 个 用 户 设置 相应 的 密码 、 隶 属 的 组 、 保 存 个 人 文件 夹 及 系统 设置 ， 男 一 方面 将 
每 个 用 户 的 程序 、 数 据 等 相互 隔离 ， 这 样 在 不 关闭 计算 机 的 情况 下 ， 不 同 的 用 户 可 以 相互 访 
问 资源 。 

在 终端 上 ， 要 执行 菜 些 任务 ， 可 能 需要 以 Administrators 组 成 员 身 份 登录 。“ 本 地 用 户 和 
组 ”用 于 管理 计算 机 用 户 的 用 户 和 组 。 可 以 创建 新 用 户 和 组 、 将 用 户 添加 到 组 、 从 组 中 删除 
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用 户 、 茶 用 用 户 和 组 的 账户 以 及 重新 设置 密码 。 

终端 用 户 账 户 类 型 ， 当 多 人 共享 计算 机 时 ， 有 时 设置 会 被 意外 地 更 改 ， 使 用 用 户 账 户 ， 
可 以 防止 其 他 人 更 改 计算 机 设置 。 

当前 一 般 的 终端 操作 系统 ， 有 图 B-24 所 示 的 两 种 账户 类 型 。 


计算 机 
RE 二 用 记 


实 装 程序 和 硬件 
进行 系统 范围 的 更 改 

访问 和 读 职 所 有 非 和 人 的 六 
件 


创建 与 删除 用 户 账户 

更 改 其 他 人 的 用 户 账户 
更 改 自己 的 账户 名 或 类 型 
更 改 自 己 的 图 片 

创建 、 更 改 或 者 删除 自己 的 
密码 


图 B-24 


必须 对 这 些 用 户 及 用 户 组 进行 统一 控制 ， 如 果 不 控制 这 些 管理 员 的 用 户 信 息 ， 会 导致 
用 户 信 息 跨 级 别 用 ， 被 不 该 使 用 的 人 员 滥 用 ， 对 终端 造成 信息 泄漏 或 者 信息 丢失 的 风险 。 主 
要 风险 包括 以 下 几 个 方面 : 

v 普通 用 户 被 违规 加 入 管理 员 组 ， 导 致 操作 范围 扩大 带 来 的 安全 风险 

v 非法 用 户 通 过 越权 修改 用 户 权 限 ， 从 而 控制 终端 ， 执 行 非法 操作 

v 用 户 或 用 户 组 过 多 ， 导 致 管理 复杂 

v 大 量 闲 置 用 户 或 用 户 组 未 及 时 删除 ， 从 而 被 非法 利用 

(2) 相关 风险 点 

操作 系统 用 户 管理 的 风险 点 详 见 表 B-15。 


表 B-15 


操作 系统 受 限 用 户 权 限 被 变更 为 管理 员 用 户 ， 审 计 信息 不 上 报 


里 员 


用 户 ， 不 提示 终端 用 户 
用 户 ， 不 产生 告警 


操作 系统 受 限 用 户 权限 被 变更 为 管理 员 用 户 ， 用 户 使 用 变更 后 
的 权限 登录 终端 ， 对 终端 进行 操作 


E 员 用 户 权 限 变 更 为 受 限 用 广 


E 员 用 户 权 限 变 更 为 受 限 用 户 ， 审 计 信息 不 上 报 
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( 续 ) 


员 用 户 权限 变 昌 户 ， 不 提示 终端 用 户 隐患 


昌 户 ， 不 产生 告警 


操作 系统 管理 员 用 户 权 限 变 更 为 受 限 用 户 ， 用 户 使 用 变更 后 的 
权限 登录 终端 ， 对 终端 进行 操作 


首 加 /删除 系统 管理 员 权 限 的 操作 系统 用 户 


删除 系统 管理 员 权 限 的 操作 系统 用 户 ， 审 计 信 息 不 上 报 原生 风险 风险 


风险 


曾 加 /删除 受 限 用 户 权限 的 操作 系统 用 户 


限 的 操作 系统 用 户 ， 审 计 信息 不 上 


昌 户 组 权限 修改 ， 不 通知 终端 用 广 


昌 户 组 权限 更 改 ， 审 计 信 息 不 上 报 管理 员 


Tr | 
Tr | 


对 操作 系统 用 户 和 用 户 组 信息 进行 检测 ， 由 于 操作 系统 的 问 | 
题 ， 获 取 的 用 户 信息 不 准确 ， 无 法 进行 相应 的 用 户 控 和 


(a) 基于 资产 使 用 生命 周期 分 析 

该 类 风险 涉及 入 网 前 、 运 行 阶段 。 入 网 前 由 于 终端 资产 不 包含 敏感 信息 和 数据 ， 风 
险 较 低 ; 入 网 后 ， 由 于 运行 过 程 中 涉及 敏感 信息 和 生产 数据 ， 如 果 不 加 以 控制 ， 导 致 的 
损失 较 大 ， 风 险 较 高 。 操 作 系 统 用 户 管理 的 风险 对 终端 的 影响 在 资产 使 用 生命 周期 的 体 
现 如 下 : 

风险 点 (1-5): 操作 系统 受 限 用 户 权 限 变 更 为 管理 员 权 限 ， 用 户 权 限 提高 。 这 些 风险 主 
要 涉及 入 网 前 和 运行 阶段 。 维 修 和 报废 阶段 ， 终 端 不 运行 ， 不 存在 该 类 风险 。 入 网 前 ， 受 限 
用 户 权 限 变 更 为 管理 员 权 限 后 ， 可 以 进行 一 些 只 有 管理 员 才 能 进行 的 操作 ， 会 对 其 他 用 户 的 
文件 和 终端 的 软 人 硬件 都 进行 一 些 更 改 ， 风 险 较 高 ， 入 网 后 ， 如 果 受 限 用 户 变 更 为 管理 员 ， 对 
终端 进行 操作 ， 不 仅 对 其 他 用 户 的 文件 和 终端 的 软 硬 件 都 有 一 些 更 改 ， 如 果 其 在 终端 上 进行 
进程 停 用 等 操作 ， 会 影响 业务 和 正常 工作 的 运行 ， 风 险 极 高 。 

风险 点 (6-10): 管理 员 权限 用 户 变更 为 受 限 用 户 ， 用 户 权限 降低 。 这 些 风 险 主要 
涉及 入 网 前 和 运行 阶段 。 维 修 和 报废 阶段 ， 终 端 不 运行 ， 不 存在 该 类 风险 。 入 网 前 ， 管 
理 员 权限 用 户 变 更 为 受 限 用 户 后 ， 管 理 员 本 身 可 以 进行 的 终端 操作 都 不 能 运行 ， 会 造成 
一 些 工 作 不 能 正常 开展 ， 但 不 会 对 系统 的 信息 造成 风险 ， 此 时 风险 较 低 ; 入 网 后 ， 管 理 
员 权限 用 户 变更 为 受 限 用 户 ， 可 能 导致 一 些 终端 的 操作 无 法 进行 ， 影 响 终 端正 常 业 务 开 
展 ， 风 险 较 高 。 

风险 点 (11-12): 这 些 风 险 主要 涉及 入 网 前 和 运行 阶段 。 维 修 和 报废 阶段 ， 终 端 不 运 


殿 
险 
险 
险 
险 
险 
险 
险 
险 
险 
险 
险 
险 
险 


XP 
原生 风 
原生 风 
次 生 风 
原生 风 
原生 风 
原生 风 
原生 风 
原生 风 
原生 风 
原生 风 
原生 风 
原生 风 
贱 余 风 


228 


终端 安全 运行 风险 | 了 条 


行 ， 不 存在 该 类 风险 。 入 网 前 ， 增 加 /删除 系统 管理 员 权 限 的 操作 系统 用 户 ， 只 会 影响 对 终 
端 本 身 的 操作 ， 风 险 较 低 ， 入 网 运行 后 ， 如 果 新 增加 了 系统 管理 员 权 限 的 用 户 ， 导 致 系统 管 
理 员 权 限 用 户 增多 ， 一 些 管理 员 的 操作 会 冲突 ， 进 而 影响 终端 正常 业务 的 开展 ， 风 险 较 高 ; 
如 果 删 除了 系统 管理 员 权 限 的 系统 用 户 ， 在 需要 该 用 户 对 终端 操作 时 ， 却 没有 相应 的 管理 员 
用 户 ， 导 致 工作 不 能 正常 开展 ， 风 险 较 高 。 

风险 点 (13-14): 增加 /删除 受 限 用 户 对 终端 影响 不 大 。 

风险 点 (15-17): 这 些 风险 主要 涉及 入 网 前 和 运行 阶段 。 维 修 和 报废 阶段 ， 终 端 不 
运行 ， 不 存在 该 类 风险 。 入 网 前 ， 操 作 系 统 用 户 组 权限 修改 ， 只 会 影响 对 终端 本 喘 的 操 
作 ， 风 险 较 低 ; 入 网 运行 后 ， 如 果 用 户 组 权限 提升 ， 导 致 组 下 的 用 户 可 以 操作 的 范围 扩 
大 ， 一 些 管 理 员 的 操作 会 冲突 ， 进 而 影响 终端 正常 业务 的 开展 ， 风 险 较 高 ;如果 用 户 组 
权限 降低 ， 在 需要 该 用 户 对 终端 操作 时 ， 却 没有 相应 的 管理 员 用 户 ， 导 致 工作 不 能 正常 
开展 ， 风 险 较 高 。 

风险 点 (18-19): 这 些 风险 主要 涉及 入 网 前 和 运行 阶段 。 维 修 和 报废 阶段 ， 终 端 不 运 
行 ， 不 存在 该 类 风险 。 入 网 前 ， 增 加 /删除 系统 用 户 组 ， 只 会 影响 对 终端 本 身 的 操作 ， 风 险 
较 低 ， 入 网 运行 后 ， 如 果 新 增加 了 系统 用 户 组 ， 如 果 用 户 组 分 配 的 权限 是 系统 管理 员 ， 会 导 
致 系统 管理 员 权 限 用 户 增多 ， 一 些 管理 员 的 操作 会 冲突 ， 进 而 影响 终端 正常 业务 的 开展 ， 风 
险 较 高 ， 如果 删 除了 系统 用 户 组 ， 在 需要 该 用 户 组 下 的 用 户 对 终端 操作 时 ， 却 没有 相应 的 用 
户 ， 导 致 工作 不 能 正常 开展 ， 风 险 较 高 。 

风险 点 (20): 该 风险 与 资产 生命 周期 无 关 。 

(b) 与 信息 安全 关系 

操作 系统 用 户 管理 的 风险 涉及 在 线 信息 安全 风险 和 存储 信息 风险 。 

风险 点 (1-5): 操作 系统 受 限 用 户 变 更 为 管理 员 用 户 后 ， 一 些 只 有 管理 员 权 限 级 别 的 管 
理 员 查 看 在 线 信息 ， 会 导致 在 线 信息 泄 漏 或 被 算 改 ， 同 时 ， 这 些 用 户 还 可 以 对 原本 没有 操作 
权限 的 存储 信息 进行 操作 ， 会 导致 存储 信息 丢失 、 被 算 改 等 风险 。 

风险 点 (6-10): 管理 员 用 户 变 更 为 受 限 用 户 后 ， 需 要 在 线 操作 的 管理 员 因 为 权限 降 
低 ， 无 法 进行 相关 操作 ， 会 导致 在 线 信息 不 能 及 时 存储 。 对 存储 的 信息 ， 不 能 查看 和 操作 ， 
不 存在 风险 。 

风险 点 (11-12): 增加 管理 员 权限 的 用 户 ， 对 在 线 信息 可 操作 的 管理 员 增 加 ; 会 导 
致 在 线 信 息 泄 漏 或 被 自 改 。 增 加 的 管理 员 权 限 用 户 ， 可 以 对 终端 上 的 存储 信息 进行 操 
作 ， 会 导致 存储 信息 丢失 、 被 自 改 等 风险 ; 删除 管理 员 权 限 用 户 ， 不 会 对 存储 信息 有 风 
险 。 对 在 线 信 息 来 次 ， 如 果 需 要 管理 员 权 限 用 户 操作 ， 但 该 用 户 被 删除 了 ， 存 在 在 线 信 
息 得 不 到 及 时 处 理 的 风险 。 

风险 点 (13-14): 增加 /删除 受 限 用 户 的 权限 对 在 线 信息 和 存储 信息 没有 风险 。 

风险 点 (15-17): 与 风险 点 (1-5) 类似。 

风险 点 (18-19): 与 风险 点 (1-5) 类似。 

风险 点 (20): 该 风险 与 信息 安全 无 关 。 
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(Cc) 基于 资产 使 用 人 分 析 

风险 点 〈120): 这 些 风险 与 人 员 类 别 密切 相关 ， 外 来 人 员 使 用 终端 的 操作 系统 ， 
登录 终端 进行 相应 的 操作 ， 会 造成 信息 泄漏 或 算 改 ， 风 险 非 常 高 ， 必 须 严 禁 外 来 人 员 使 
用 内 部 终端 ， 尤 其 是 要 闲置 外 部 人 员 使 用 终端 的 管理 员 用 户 账号 操作 ， 临 时 人 员 有 时 候 
因为 工作 需要 ， 必 须 使 用 内 部 终端 一 定 要 控制 其 用 户 级 别 ， 避 免 出 现 跨 权限 的 资源 访 
问 ， 内 部 人 员 在 对 操作 系统 用 户 管理 时 ， 必 须 做 到 及 时 删除 多 余 的 用 户 和 用 户 组 ， 同 时 
一 定 要 妥善 保管 好 管理 员 账号 ， 吕 免 帐号 和 密码 泄漏 ， 同 时 要 做 到 权限 控制 ， 不 要 设置 
过 多 的 具有 管理 员 权限 的 账号 。 

Cd) 合 规 性 要 求 

合 规 性 要 求 见 表 B-16。 


表 B-16 


1 等 级 保护 中 没有 明确 对 操作 系统 用 


基于 以 上 风险 点 分 析 ， 如 采取 相关 技术 和 管理 手段 管控 8 个 风险 点 ， 则 终端 操作 系统 用 
户 管理 的 风险 符合 等 级 保护 相关 要 求 。 
相关 技术 和 管理 的 风险 管控 措施 参见 以 下 小 节 阐 述 。 
2. 风险 管控 
(1) 风险 点 〈1-10): 操作 系统 用 户 权 限 变更 管理 流程 。 
事前 处 置 : 定义 终端 上 每 个 用 户 对 应 的 权限 ， 检 查 用 户 的 权限 与 事先 指定 的 是 否 一 致 。 
制定 制度 ， 不 允许 随意 变更 用 户 的 权限 ; 对 每 一 个 终端 ， 必 须根 据 其 使 用 的 目的 对 终端 的 用 
户 权 限 做 统一 规定 。 
事 中 处 置 : 
v 定时 检测 终端 操作 系统 用 户 的 权限 列表 
v 将 获取 的 用 户 权 限 列表 与 制度 规定 的 用 户 权限 列表 相 比 较 
v 如 果 用 户 的 权限 列表 与 制度 规定 的 不 符合 ， 提 示 用 户 终 端 操 作 系统 用 户 权限 情况 异 
常 ， 有 违反 权限 规定 的 用 户 存 在 ， 提 示 用 户 进行 进一步 处 理 〈 按 规定 修改 用 户 权限 
等 》 
v 如 果 用 户 权 限 变 化 ， 及 时 根据 规则 产生 报警 ， 提 醒 管 理 员 注意 
v 如 果 用 户 的 权限 变化 了 ， 及 时 对 变更 进行 记录 (包括 变更 前 权限 、 变 更 后 权限 、 变 
更 的 时 间 、 变 更 操作 人 员 等 信息 )， 发 送 至 防护 平台 服务 器 。 
事后 处 置 : 根据 权限 变更 的 实际 情况 ， 进 行 相应 的 操作 ， 如 果 是 权限 提升 ， 产 生 报警 ， 
提醒 终端 用 户 及 时 按 制度 修改 用 户 权 限 ; 如 果 权 限 降低 ， 也 需要 通知 用 户 权 限 过 低 ， 一 些 用 
户 可 能 得 不 到 必须 的 权限 来 使 用 终端 资源 。 
操作 系统 用 户 权 限 变更 管理 流程 如 图 B-25 所 示 : 
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TITTTTT 二 


《终端 用 户 权 限 设 置 规 定 》 


终端 操作 系统 用 户 权限 信息 与 
权限 信息 获取 规定 比较 


< 事前 阶段 > 


用 户 权限 信息 与 
制度 是 否 相 符 


权限 变更 记录 


终端 用 户 a 
本 违规 行为 取证 
操作 一 按 (权限 变更 的 


规定 进行 
权限 设置 原始 记录 ， 


新 的 安全 策略 调整 安全 策略 


[本 


图 。B-25 


风险 点 〈11-14): 操作 系统 用 户 增 加 /删除 管理 流程 

事前 处 置 : 定义 终端 上 可 以 有 的 用 户 数量 、 用 户 类 别 ， 规 定 不 允许 随意 在 终端 上 添加 或 
删除 用 户 ， 需 要 注意 的 是 ， 不 同 的 终端 上 可 以 有 的 操作 系统 用 户 是 不 尽 相 同 的 ， 比 如 个 人 办 公 
终端 ， 可 能 有 管理 员 用 户 和 一 般 个 人 用 户 束 够 了 ， 但 在 一 些 业 务 服 务 器 上， 省 理 员 用 户 可 能 只 
有 一 个 ， 但 一 般 用 户 可 以 允许 有 多 个 。 具 体 的 终端 用 户 情 况 需 要 结合 实际 运 维 情况 制定 。 

事 中 处 置 : 

v 定时 检测 终端 操作 系统 用 户 列表 

v 将 获取 的 列表 与 制度 规定 的 用 户 数 量 和 情况 相 比 较 

v 如 果 是 随意 增加 了 操作 系统 用 户 的 情况 ， 提 示 用 户 终 端 操作 系统 用 户 情况 寞 第 ， 有 

违反 规定 的 用 户 存 在 ， 提 示 用 户 进行 进一步 处 理 〈 删 除 违规 增加 的 用 户 等 等 ) 
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如 果 是 已 有 的 用 户 被 删除 掉 了 ， 提 示 用 户 终端 用 户 被 异常 删除 ， 提 示 用 户 进行 进 一 

步 处 理 〈 恢 复 被 删除 的 用 户 ) 

v 记录 用 户 变化 的 情况 及 终端 使 用 者 的 操作 ， 发 送 至 防护 平台 服务 器 。 

事后 处 置 ， 

根据 整体 安全 态势 分 析 调 整 安全 策略 ， 针 对 终端 下 发 新 的 用 户 管理 策略 ， 如 果 是 违规 增 
加 了 用 户 ， 提 示 终 端 删除 用 户 ， 如 果 是 违规 删除 了 用 户 ， 提 示 终 端 恢复 用 户 。 对 用 户 变化 的 
情况 进行 记录 ， 包 括 终端 使 用 者 、 增 加 /删除 的 用 户 信息 、 更 改 的 时 间 等 信息 。 

操作 系统 用 户 增加 /删除 管理 流程 如 图 B-26 所 示 : 


操作 系统 用 户 增加 /删除 管理 流 
终 冰 使 用 者 


《终端 用 户 设置 规定 》: 制定 
不 同 终 端的 用 户 设 定 原则 ， 
某 个 终端 允许 的 最 大 用 户 数 ， 
不 同 的 用 户 类 别 


终端 操作 系统 用 户 用 户 信 息 与 规定 
信息 获取 的 用 户 信息 比较 


< 事前 阶段 > 


用 户 信息 与 制度 


提示 终端 用 户 超过 限制 
或 者 与 限制 不 符合 风险 分 析 


很 示 终端 使 
用 户 异常 


用 户 数量 变更 记录 


终端 管理 员 

0 违规 行为 取证 
用 户 的 增加 (用 户 增 加 /删除 
/ 删除 的 原始 记录 ) 


< 事 中 阶段 > 


新 的 安全 策略 调整 安全 策略 


< 事后 阶段 > 


图 B-26 
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风险 点 (15-17): 操作 系统 用 户 组 权限 变更 管理 流程 与 用 户 权 限 变 更 管理 流程 类 似 。 

风险 点 (17-19); 操作 系统 用 户 组 增加 /删除 管理 流程 与 操作 系统 用 户 增 加 /删除 管理 流 
程 类 似 。 

风险 点 〈20): 由 于 操纵 Windows 系统 的 用 户 需 要 从 操作 系统 获取 ， 所 以 必须 保证 操作 
系统 可 用 ， 且 可 以 正确 获取 终端 上 的 用 户 以 及 用 户 组 信息 ， 如 果 不 能 获取 用 户 和 用 户 组 信 
息 ， 后 续 的 策略 控制 和 报警 都 无 从 产生 ; 

3. 残余 风险 处 理 

在 对 终端 的 操纵 系统 用 户 进行 管理 时 存在 这 样 的 情况 : 

v 对 操作 系统 的 用 户 权 限 没有 严格 按照 要 求 分 配 

v 其 审计 信息 报 给 管理 员 后 ， 也 未 得 到 及 时 的 关注 和 处 理 

v 系统 因 工作 或 维修 需要 增加 了 操作 系统 用 户 ， 事 后 未 及 时 对 这 些 用 户 进行 删除 操作 

v 未 按照 规定 进行 操作 系统 用 户 组 建设 

因此 ， 尽 管 部 署 了 完备 的 检测 和 管理 技术 手段 ， 却 会 因 人 的 操作 习惯 和 安全 意识 造成 操 
作 系统 用 户 管理 的 风险 继续 存在 。 

针对 该 问题 ， 建 议 增加 以 下 几 方 面 工 作 : 

v 加 强 安全 意识 培训 和 教育 ， 使 终端 用 户 意 识 到 严格 按照 要 求 对 操作 系统 的 用 户 组 和 

用 户 信心 进行 管理 的 重要 性 
v 需要 在 制度 上 规定 不 允许 随意 在 终端 上 添加 管理 员 用 户 ， 同 时 ， 提 示 用 户 ， 所 有 的 
用 户 权限 修改 都 会 有 记录 在 案 ， 不 允许 随意 修改 用 户 权限 
v 闲置 用 户 的 定义 也 需要 在 制度 上 保证 ， 必 须 有 一 个 闲置 用 户 的 明确 规定 ， 才 能 根据 


这 个 判断 哪些 是 限制 用 户 
建立 定期 检查 和 整改 制度 ， 定 期 对 组 织 内 终端 的 操作 系统 用 户 情况 进行 集中 检查 ， 
集中 整改 


v 设立 针对 操作 系统 用 户 相 关 的 考核 管理 措施 ， 将 该 项 工作 作为 终端 使 用 人 、 终 端 所 
有 单位 安全 工作 考评 中 的 考核 指标 

4. 风险 控制 效果 

主要 以 监控 为 主 ， 控 制 较 弱 ， 输 出 信息 提示 报警 。 


EE 网 络 边 弄 安全 〈《RR1.3) 


B.3.1 违规 内 联 (30 个 风险 后 ) 


1. 风险 分 析 

(1) 风险 描述 

违规 内 联 的 风险 主要 体现 在 以 下 几 个 方面 : 

1) 身份 不 合法 的 终端 违规 接 入 内 网 ， 包 括 终端 未 经 过 资产 管理 系统 有 效 登 记 、 终 端 与 
资产 管理 系统 登记 信息 不 符 以 及 终端 登录 用 户 未 经 过 有 效 登 记 等 情况 。 身 份 不 合法 的 终端 违 
规 接 入 内 网 可 能 存在 非法 终端 盗用 内 网 资源 的 情况 ， 非 法 终端 盗用 内 网 资源 有 机 会 通过 内 网 
非法 获取 其 他 主机 或 应 用 系统 中 的 信息 ， 并 可 能 对 其 他 主机 发 起 攻击 。 

2) 健康 状态 不 合 规 的 终端 违规 接 入 内 网 ， 包 括 病 毒 检 查 不 合 规 、 木 马 检 查 不 合 规 、 应 
用 软件 检查 不 合 规 、 外 设 检查 不 合 规 、 操 作 系 统 补丁 检查 不 合 规 等 情况 ， 违 规 终端 接 入 内 
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网 ， 因 为 健康 检查 未 通过 设 定 的 健康 检查 规则 ， 则 可 能 存在 病毒 、 木 马 、 未 被 允许 安装 的 应 
用 程序 、 非 经 授权 打开 的 外 设 端口 、 未 安装 最 新 操作 系统 补丁 等 情况 ， 达 不 到 内 网 的 整体 安 
全 基准 ， 成 为 内 网 信息 系统 的 安全 威胁 。 

3) 非 内 网 终端 无 相关 入 网 审批 流程 ， 包 括 非 内 网 终端 没有 合理 的 接 入 流程 、 没 有 合理 
的 应 急流 程 、 没 有 相关 审批 流程 等 情况 ， 可 能 造成 有 正常 接 入 需求 的 非 内 网 终端 无 法 入 网 使 
用 ， 造 成 工作 不 便 。 

4) 身份 合法 状态 合 规 的 终端 ， 非 授权 开启 服务 端 服 务 (DHCP 等 ) 或 使 用 未 经 授权 的 
IP 地 址 虚 避 身份 判断 ， 非 授权 开启 相关 服务 会 影响 到 正常 的 服务 应 用 ， 使 用 未 经 授权 的 全 
地 址 可 能 造成 卫 地址 冲突 ， 影响 原 有 合法 终端 正常 使 用 网 络 。 

(2) 相关 风险 点 

违规 内 联 的 风险 点 详 见 表 B-17。 


表 B-17 


风险 属性 隐患 /风险 
终端 资产 没有 在 资产 管理 系统 登记 的 违 ; 原生 风险 
终端 资产 与 资产 管理 系统 登记 信息 不 符 的 违 原生 风险 
登录 终端 用 户 没 有 合法 登记 的 违 ] 原生 风险 


终端 身份 标识 符 被 冒 用 ， 在 相应 控制 措施 实施 时 可 能 导致 的 被 冒 用 世 
合法 终端 无 法 上 网 


次 生 风 险 
原生 风险 
原生 风险 
原生 风险 
原生 风险 
原生 风险 
原生 风险 


原生 风险 


] 户 未 按 流 程 进行 合 规 化 处 理 残 全 风险 。 | 隐 
手机 违规 连 入 内 网 原生 风险 。 | 隐患 


网 终端 连 入 内 网 ， 无 流程 化 处 理 原生 风险 
网 终端 连 入 内 网 ， 无 应 急 处 理 原生 风险 
网 终端 接 入 内 网 ， 无 授权 审批 原生 风险 
网 终端 接 入 内 网 后 ， 用 户 未 按 流程 进行 映 份 登记 残余 风险 
网 终端 授权 接 入 内 网 ， 不 进行 安全 检测 
网 终端 授权 接 入 内 网 ， 不 对 其 上 传 下 载 数据 行为 进行 审计 和 记录 。| 原生 风险 
] 未 经 系统 管理 员 分 配 的 全 或 他 段 


原生 风险 


原生 风险 
残余 风险 
原生 风险 
原生 风险 
原生 风险 
i 服务 的 终端 ， 用 户 未 按 提示 关闭 服务 残余 风险 
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(a) 相关 资产 生命 周期 

资产 生命 周期 包含 入 网 阶段 、 运 行 阶段 、 维 护 阶 段 、 废 莽 阶 段 ， 违 规 内 联 风险 对 终 站 的 
影响 在 资产 生命 周期 的 体现 如 下 : 

a) 终端 资产 没有 在 资产 管理 系统 登记 的 违规 内 联 ， 终 端 资 产 与 资产 管理 系统 登记 信息 
不 符 的 违规 内 联 ， 登 录 终 端 用 户 没 有 合法 登记 的 违规 内 联 ， 终 端 刁 份 标识 符 被 算 改 / 冒 用 的 
风险 ; 终端 身份 标识 符 被 冒 用， 在 相应 控制 措施 实施 时 可 能 导致 的 被 冒 用 的 合法 终端 无 法 上 
网 风险 存在 于 资产 生命 周期 的 入 网 阶段 、 运 行 阶段 、 维 护 阶 段 、 废 弃 阶段 ， 在 上 述 4 个 阶段 
未 对 终 曾 号 份 的 合法 性 要 求 进行 检测 ， 则 无 法 判断 终端 里 份 的 有 效 性 ， 可 能 产生 非 内 网 终端 
非法 接 入 内 网 的 情况 ， 非 内 网 终端 非法 接 入 内 网 可 能 导致 对 内 网 资源 的 攻击 和 食 取 ， 主 要 危 
害 内 网 其 他 资源 ， 所 以 4 个 阶段 终端 目 身 的 信息 资源 尽管 不 同 ， 但 对 于 其 他 内 网 资源 的 危害 
程度 同样 大 ， 从 4 个 阶段 终端 使 用 者 的 角度 看 ， 运 行 阶 段 是 终端 所 有 者 使 用 ， 其 他 阶段 使 用 
者 非 终端 所 有 者 ， 从 行政 管理 的 角度 更 加 难以 控制 ， 所 以 其 他 3 个 阶段 从 使 用 者 的 角度 对 产 
生 此 类 风险 的 危害 性 更 大 。 

b) 终端 病毒 检查 不 合 规 的 违规 内 联 : 终端 操作 系统 补丁 检查 不 合 规 的 违规 内 联 ， 终 端 
应 用 软件 检查 不 合 规 的 违规 内 联 ， 终 端木 马 检 查 不 合 规 的 违规 内 联 ， 终 端 外 设 控制 检查 不 合 
规 的 违规 内 联 的 风险 存在 于 资产 生命 周期 的 运行 阶段 。 在 运行 阶段 终端 未 进行 病毒 的 合 规 性 
检查 ， 则 接 入 内 网 的 终端 可 能 感染 病毒 ， 导 致 病毒 在 内 网 中 传播 感染 其 他 主机 ; 没有 对 接 入 
终端 进行 操作 系统 补丁 的 检查 ， 则 接 入 终端 可 能 未 安装 最 新 的 操作 系统 补丁 ， 终 端 存在 系统 
漏 词 ， 不 但 目 身 容易 遭受 攻击 ， 还 可 能 成 为 内 网 安全 的 薄弱 环节 ， 成 为 攻击 内 网 的 跳板 ;， 没 
有 对 终端 进行 应 用 软件 的 检查 ， 则 接 入 终端 可 能 存在 非 授权 应 用 软件 ， 导 致 影响 内 网 正常 运 
行 ， 并 可 能 存在 安全 漏洞 ， 没 有 对 终端 进行 木马 检查 ， 则 接 入 终端 可 能 存在 木马 ， 导 致 目 身 
受到 攻击 ， 并 可 能 成 为 别人 的 攻击 跳板 ; 没有 对 终端 外 设 控 制 进行 检查 ， 则 可 能 存在 非 授权 
的 外 设 ， 存 在 输出 类 的 外 设 〈 打 印 机 等 ) 可 能 带 来 信息 的 外 泄 ， 存 在 网 络 连接 类 的 外 设 〈 无 
线 网 卡 ) 则 可 能 产生 非法 的 外 部 连接 。 

c) 不 合 规 的 违规 内 联 终端 ， 不 被 强制 定位 到 隔离 区 ;隔离 区 的 终端 ， 不 进行 有 效 验 证 
就 被 允许 入 网 ; 隔离 区 内 的 终端 ， 用 户 未 按 流 程 进 行 合 规 化 处 理 的 风险 存在 于 资产 生命 周期 
的 运行 阶段 。 在 运行 阶段 没有 将 不 合 规 终端 定 位 到 隔离 区 ， 则 无 法 再 限制 使 用 内 网 资源 的 基 
础 上 对 不 合 规 终端 进行 强制 合 规 处 理 ， 不 进行 有 效 验 证 束 被 允许 接 入 内 网 以 及 隔离 区 内 的 终 
端 ， 用 户 未 按 流程 进行 合 规 化 处 理 造 成 不 合 规 终 端 进入 内 网 ， 产 生 不 合 规 终端 接 入 内 网 
的 危害 。 

d) 手机 违规 连 入 内 网 的 风险 存在 于 资产 生命 周期 的 运行 阶段 ， 在 运行 阶段 没有 对 手机 
违规 接 入 内 网 终端 进行 检测 与 阻 晰 ， 则 可 能 通过 手机 获取 终端 或 内 网 资源 中 的 信息 ， 并 可 能 
使 该 终端 非法 连接 至 外 部 网 络 。 

e) 非 内 网 终端 连 入 内 网 ， 无 流程 化 处 理 ， 非 内 网 终端 连 入 内 网 ， 无 应 急 处 理 ， 非 内 网 
终端 接 入 内 网 ， 无 授权 审批 ， 非 内 网 终端 接 入 内 网 后 ， 用 户 未 按 流 程 进行 身份 登记 ; 非 内 网 
终端 授权 接 入 内 网 ， 不 进行 安全 检测 ， 非 内 网 终端 授 权 接 入 内 网 ， 不 对 其 上 传 下 载 数据 行为 
进行 审计 和 记录 的 风险 存在 于 资产 生命 周期 的 运行 阶段 ， 在 运行 阶段 没有 对 非 内 网 终端 接 入 
内 网 进行 流程 化 处 理 和 应 急 处 理 ， 则 非 内 网 终端 不 具备 合理 的 入 网 流程 ， 导 致 非 内 网 终端 无 
法 入 网 使 用 或 入 网 使 用 ， 但 没有 被 资产 管理 系统 进行 有 效 的 管理 ， 不 具备 非 内 网 终端 的 接 入 
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内 网 的 授权 审计 ， 则 可 能 导致 非 内 网 终端 无 法 通过 入 网 流程 获得 入 网 许可 或 非 内 网 终端 不 经 
审批 就 接 入 内 网 ， 非 内 网 终端 授权 接 入 内 网 如 未 经 过 安全 检测 ， 则 非 内 网 终端 健康 状态 不 合 
规 ， 产 生 同 不 合 规 内 网 终端 接 入 相同 的 风险 ， 未 对 非 内 网 终端 进行 上 传 下 载 数 据 的 行为 进行 
审计 和 记录 ， 则 无 法 掌握 非 内 网 终端 的 数据 访问 ， 在 发 生 数据 外 泄 时 无 法 有 效 追 查 。 

f) 授权 接 入 内 网 的 终端 ， 使 用 未 经 系统 管理 员 分 配 的 他 或 全 段 ， 对 非 授权 使 用 全 的 
终端 不 进行 提示 ， 对 非 授权 使 用 卫 的 终端 未 进行 审计 上 报 ， 非 授权 使 用 了 的 终端 ， 用户 未 
掖 提示 修改 也， 授权 终端 ， 开 启 未 经 系统 管理 员 人 允许 的 服务 端 服务 (DHCP、 代 理 ) ， 对 非 
授权 开启 服务 器 端 服务 的 终端 不 进行 提示 ， 对 非 授 权 开 启 服务 器 端 服务 的 终端 未 进行 审计 上 
报 ， 非 授权 开启 服务 器 端 服务 的 终端 ， 用 户 未 按 提示 关闭 服务 的 风险 存在 于 资产 生命 周期 的 
运行 阶段 ， 在 运行 阶段 使 用 非 授权 人 P 地 址 可 能 影响 被 冒 用 的 合法 用 户 对 网 络 资源 的 使 用 ， 
或 者 因为 也 地 址 未 登记 ， 在 产生 违规 行为 时 难以 追查 ， 非 授权 开启 服务 端 服务 可 能 造成 对 
正常 服务 的 影响 〈 正 常 分 配 卫 地 址 等 )， 影 响 其 他 内 网 终端 的 服务 使 用 。 

g) 产生 违规 内 联 后 ， 不 能 识别 终端 身份 信息 ， 产 生 违规 内 联 后 ， 没 有 上 报 审计 信息 的 
风险 存在 于 资产 生命 周期 的 运行 阶段 ， 在 运行 阶段 未 识别 区 分 违规 内 联 终端 的 身份 信息 就 无 
法 对 违规 内 联 的 终端 进行 身份 追查 ， 无 法 在 发 生 安全 事件 后 根据 违规 内 联 终端 的 身份 对 威 肋 
进行 针对 性 的 防护 ， 并 针对 身份 分 析 攻击 目的 进行 针对 性 的 补救 措施 ， 产 生 违 规 内 联 后 ， 没 
有 上 报 审计 信息 ， 就 可 能 造成 违规 行为 的 不 可 知 、 不 可 控 ， 由 于 不 能 进行 针对 性 的 取证 ， 无 
法 预防 违规 行为 的 再 次 发 生 ， 也 不 能 提供 对 违规 行为 处 罚 的 依据 。 

(b) 相关 信息 风险 

a) 终端 资产 没有 在 资产 管理 系统 登记 的 违规 内 联 ， 终 端 资产 与 资产 管理 系统 登记 信息 
不 符 的 违规 内 联 ， 登 录 终端 用 户 没有 合法 登记 的 违规 内 联 的 风险 ， 

针对 在 线 信息 的 影响 在 于 非法 终端 连接 内 网 ， 提 供 非 法 终端 采用 非法 手段 接 入 应 用 系统 
的 途径 ， 通 过 非法 接 入 应 用 系统 ， 非 法 删除 、 算 改 和 获取 应 用 系统 内 的 信息 。 

b) 未 进行 终端 病毒 的 合 规 性 检查 的 风险 ， 针 对 存储 信息 影响 在 于 不 合 规 终端 可 能 在 内 
网 传播 病毒 ， 造 成 本 机 和 其 他 终端 存储 信息 不 可 用 ， 

c) 未 进行 终端 最 新 操作 系统 补丁 的 合 规 性 检查 的 风险 ， 无 最 新 系统 补丁 的 终端 易 受 攻 
击 ， 并 可 能 成 为 攻击 其 他 业务 终端 的 跳板 ， 本 终端 和 其 他 被 攻击 的 终端 存储 信息 可 能 被 非法 
访问 。 当 本 终端 和 其 他 终端 连接 应 用 系统 时 ， 攻 击 者 可 借 此 对 在 线 信息 进行 非法 访问 。 

d) 未 进行 终端 木马 的 规 性 检查 的 风险 ， 未 进行 木马 检测 的 终端 可 能 携带 木马 ， 被 攻 
击 者 控制 ， 并 可 能 成 为 攻击 其 他 业务 终端 的 跳板 。 本 终端 和 其 他 被 攻击 的 终端 存储 信息 
可 能 被 非法 访问 。 当 本 终端 和 其 他 终端 连接 应 用 系统 时 ， 攻 击 者 可 借 此 对 在 线 信息 进行 
非法 访问 ， 

e) 未 进行 终端 外 设 控制 的 规 性 检查 的 风险 ， 影 响 在 于 此 类 终端 可 能 存在 非 授权 开启 的 
外 设 端 口 ， 造 成 本 终端 存储 信息 的 泄漏 ， 当 终端 连接 应 用 系统 时 存在 将 在 线 业务 信息 扩散 的 
风险 ， 

f) 未 进行 手机 违规 接 入 内 网 终端 检测 与 阻 断 的 风险 :手机 可 能 通过 内 网 连接 获取 在 线 
业务 信息 ， 并 通过 手机 的 数据 连接 向 系统 外 扩散 。 

g) 未 对 非 内 网 终端 授权 接 入 内 网 进行 安全 检测 的 风险 ， 存 在 非 内 网 终端 通过 接 入 流程 
接 入 内 网 后 ， 由 于 非 内 网 终端 健康 状态 不 合 规 安全 防护 性 能 弱 而 被 攻击 ， 造 成 本 机 存储 信息 
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被 非法 访问 ， 当 终端 连接 应 用 系统 时 在 线 业 务 信 息 被 攻击 者 非法 访问 。 

h) 非 内 网 终端 按照 流程 审批 通过 接 入 内 网 后 ， 未 对 其 上 传 下 载 数据 行为 进行 审计 和 记 
录 的 风险 : 对 于 在 线 信息 来 说 ， 其 危害 在 于 非 内 网 终端 的 临时 性 决定 。 非 内 网 终端 是 数据 外 
涝 的 易 发 生 点 ， 无 啊 应 审计 和 记录 ， 就 无 法 在 业务 数据 外 泄 时 判断 其 外 泄 途径 。 

i) 未 识别 区 分 违规 内 联 终端 的 身份 信息 的 风险 : 针对 在 线 信息 影响 主要 在 于 违规 内 联 
的 终端 采用 合法 或 非法 权限 连接 应 用 系统 ， 获 取 、 修 改 应 用 系统 内 的 信息 ， 无 法 有 效 获取 其 
终端 身份 ， 无 法 有 效 地 进行 奶 碍 。 

针对 存储 信息 影响 主要 在 于 ， 违 规 终 剖 接 入 内 网 后 由 于 健康 状态 不 合 规 而 形成 的 安全 防 
护 能 力 弱 ， 被 攻击 ， 造 成 存储 信息 被 非法 获取 时 ， 无 法 获取 其 喘 份 信息 ， 就 不 能 妃 济 存储 信 
姑 外 汇 的 途径 ， 进 行 弥补 和 处 记 。 

j) 未 对 违规 内 联 的 终端 进行 审计 信息 的 上 报 的 风险 : 针对 在 线 和 存储 信息 的 影响 主要 
在 于 ， 无 法 获知 安全 事件 的 发 生 ， 无 法 终止 对 信息 有 威胁 的 行为 、 防 止 再 次 发 生 和 相应 
处 罚 。 

(Cc) 基于 资产 使 用 人 分 析 

a) 终端 身份 的 合法 性 判断 未 按照 要 求 进行 终端 违规 内 联检 测 ， 该 风险 主要 涉及 外 部 人 
员 。 外 部 人 员 非 法 接 入 系统 可 能 造成 不 同 目 的 人 员 非 法 获取 网 络 资源 ， 通 过 系统 网 络 资源 的 
获取 可 能 造成 对 其 他 终端 的 攻击 和 应 用 系统 的 非法 访问 。 

b) 终端 未 进行 合 规 性 检查 的 风险 ， 主 要 涉及 内 部 人 员 、 临 时 人 员 和 经 过 入 网 审批 流程 
的 外 部 人 员 。 无 论 上 述 哪 一 类 人 员 均 需要 进行 合 规 性 检查 ， 人 否则 终端 会 因为 安全 状态 不 合 规 
而 安全 防护 措施 不 足 ， 被 攻击 并 被 作为 系统 薄弱 点 成 为 攻击 跳板 。 终 端 一 旦 被 攻击 ， 昌 然 终 
端的 使 用 者 : 内 部 人 员 特 别 古 其 中 不 同业 务 类 别 的 终端 )、 临 时 人 员 和 经 过 入 网 流程 的 外 
部 人 员 ， 由 于 其 存储 信息 重要 程度 和 业务 权限 职责 、 权 限 不 同 ， 而 造成 不 同 的 后 果 ， 但 古 作 
为 攻击 跳板 对 于 其 他 主机 发 动 攻 击 具有 相同 的 风险 。 

c) 不 合 规 的 终端 未 被 系统 目 动 强制 定位 到 隔离 区 ， 进 行 合 规 修 复 的 风险 ， 主 要 涉及 内 
部 人 员 、 临 时 人 员 和 外 部 人 员 ， 在 运行 阶段 没有 将 不 合 规 终端 定位 到 隅 离 区 ， 则 无 法 在 限制 
使 用 内 网 资源 的 基础 上 对 不 合 规 终端 进行 强制 合 规 处 理 。 

d) 非 内 网 终端 不 具备 接 入 内 网 的 流程 化 处 理 和 应 急 处 理 的 风险 ， 主 要 涉及 外 部 人 员 ， 
可 导致 外 部 人 员 的 非 内 网 终端 无 法 入 网 使 用 或 入 网 使 用 但 没有 有 效 的 被 资产 管理 系统 有 
效 管 理 。 

e) 非 内 网 终端 不 具备 接 入 内 网 的 授权 、 审 批 的 风险 ， 主 要 涉及 外 部 人 员 ， 可 能 导致 外 
部 人 员 的 非 内 网 终端 无 法 通过 入 网 流程 获得 入 网 许可 或 非 内 网 终端 不 经 审批 就 接 入 内 网 。 

f) 未 对 非 内 网 终端 授权 接 入 内 网 进行 安全 检测 的 风险 主要 涉及 外 部 人 员 ， 外 部 人 员 的 
非 内 网 终端 健康 状态 不 合 规 ， 产 生 同 不 合 规 内 网 终端 接 入 相同 的 风险 。 

g) 非 内 网 终 站 按照 流程 审批 通过 接 入 内 网 后 ， 未 对 其 上 传 下 载 数据 行为 进行 审计 和 记 
录 的 风险 主要 涉及 外 部 人 员 ， 外 部 人 员 作 为 行政 管理 手段 的 薄弱 环节 易 产 生 数 据 外 泄 ， 未 对 
其 行为 进行 审计 和 记录 ， 则 在 数据 外 泄 产生 时 无 法 有 效 退 查 。 

h) 使 用 非 授 权 IP 的 违规 内 联 风 险 ， 主 要 涉及 内 部 人 员 、 临 时 人 员 和 经 过 授权 的 外 部 人 
员 ， 内 部 人 员 有 国定 分 配 的 全 地 址 ， 威 胁 较 小 。 临 时 人 员 和 经 过 授权 的 外 部 人 员 可 能 在 授 
权 使 用 未 完成 的 情况 下 使 用 非 授权 卫 或 为 了 获取 内 部 人 员 的 相应 权限 冒 用 人 P 地 址 ， 造 成 原 
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有 合法 用 户 无 法 使 用 网 络 资源 ， 威 胁 更 大 ， 

i) 开启 非 授 权 服 务 端 服务 的 违规 内 联 风 险 ， 主 要 涉及 内 部 人 员 、 临 时 人 员 和 经 过 授权 
的 外 部 人 员 ，3 类 人 员 同 样 可 能 因为 误 操作 开启 非 授 权 服务 端 服 务 ， 影 响 正 常服 务 。 临 时 人 
员 和 经 过 授权 的 外 部 人 员 还 有 可 能 因为 对 网 络 环境 不 熟悉 ， 启 用 相应 服务 ， 造 成 正常 服务 影 
响 的 可 能 性 更 大 . 

Cd) 风险 场景 

终端 从 准 入 的 角度 可 以 按照 资产 的 属性 划分 成 如 下 几 类 :内 网 终端 、 内 网 临时 使 用 
的 终端 、 外 网 终端 、 本 单位 漫游 终端 、 不 明 来 源 的 终端 。 内 网 终端 是 进行 了 资产 登记 的 
专 为 内 网 使 用 的 终端 ， 内 网 临时 终端 是 有 在 内 网 临时 使 用 需求 的 终端 ， 外 网 终端 是 进行 
了 资产 登记 专门 用 于 外 网 使 用 的 终端 ， 本 单位 漫游 终端 是 本 地 位 其 他 地 区 内 网 使 用 的 终 
端 由 于 工作 需要 漫游 之 本 地 内 网 的 终端 ， 不 明 来 源 的 终端 是 所 有 不 在 内 网 登记 使 用 ， 且 
无 在 本 地 内 网 使 用 的 合理 需求 的 终端 。 根 据 不 同 的 终端 种 类 ， 违 规 内 联 涉及 以 上 终端 入 
网 、 离 网 的 场景 。 并 根据 入 网 需求 的 紧急 程度 不 同 ， 可 以 将 入 网 离 网 的 场景 区 分 为 一 般 
场景 和 应 急 场景 

Ce) 合 规 性 要 求 

合 规 性 要 求 见 表 B-18。 


表 B-18 


7.1.2.4 边界 完整 性 检查 〈S3 ) 


1 网 络 安全 a) 应 能 够 对 非 授权 设备 私自 联 到 内 部 网 络 的 行为 进行 检查 ， 准 符合 
确定 出 位 置 ， 并 对 其 进行 有 效 阻 断 


基于 以 上 风险 点 分 析 ， 如 采取 相关 技术 和 管理 手段 管控 30 个 风险 点 ， 则 终端 违规 内 联 
部 分 管理 符合 等 级 保护 相关 要 求 。 
相关 技术 和 管理 的 风险 管控 措施 参见 以 下 小 节 阐 述 。 
2， 风险 管控 
(1) 终端 身份 合法 性 检测 (终端 资产 没有 在 资产 管理 系统 登记 的 违规 内 联 ;， 终端 资产 与 
资产 管理 系统 登记 信息 不 符 的 违规 内 联 ， 登 录 终 端 用 户 没 有 合法 登记 的 违规 内 联 ) 
事前 处 置 : 终端 入 网 登记 ， 保 存 终端 相关 识别 信息 。 
事 中 处 置 : 
v 终端 接 入 内 网 验证 终端 身份 ， 检 查 终端 是 否 在 资产 库 中 有 合法 登记 。 通 过 则 进入 下 
一 流程 ， 未 通过 则 转 入 非 内 网 终端 入 网 流程 
v 检查 终端 与 资产 库 中 登记 的 信息 是 否 相符 ， 通 过 则 进入 下 一 检查 流程 ， 未 通过 则 进 
行 告警 ， 并 进行 审计 记录 
v 检查 终端 登录 用 户 是 否 为 登记 用 户 ， 通 过 则 正常 使 用 网 络 资源 ， 未 通过 则 进行 告 
警 ， 并 进行 审计 记录 
v 安全 管理 员 通 过 告警 和 日 志 记录 进行 风险 分 析 
事后 处 置 : 安全 管理 员 对 违规 内 联 的 情况 进行 关联 分 析 ， 由 网 络 管理 员 调 整 安全 策略 。 
处 置 流 程 见 图 B-27。 
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终端 合法 性 检测 


终 痛 使 用 者 系统 管理 员 


终端 登记 入 网 


终端 身份 验证 


入 网 流程 
终端 是 否 在 次 
产 库 中 登记 


风险 分 析 
登记 信息 相符 


终端 登录 用 户 是 
否 在 管理 系统 中 
登记 


终端 正常 使 用 
安全 策略 a 
ee 


图 。B-27 
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用 ， 


(2) 终端 身份 标识 冒 用 《终端 身份 标识 符 被 复 改 、 冒 用 的 风险 ; 终端 身份 标识 符 被 冒 
在 相应 控制 措施 实施 时 可 能 导致 的 被 冒 用 的 合法 终端 无 法 上 网 ) 
事 中 处 置 : 

Y 在 产生 安全 日 志 时 ， 记 录 终 端 多 个 特征 信息 ， 比 对 管理 平台 中 身份 标识 符 和 
终端 特征 信息 的 对 应 关系 ， 发 现 映 份 标识 符 和 终端 特征 信息 不 符 则 引发 告警 
v 检测 终端 标识 从 是 否 发 现 重 复 情况 ， 发 现 映 份 标识 符 重 复 则 说 明 有 终端 冒 用 里 份 标 

识 符 ， 首 先 阻 断 出 现 号 份 标识 符 重 复 情 况 终端 的 网 络 连接 
事后 处 置 安全 管理 员 根 据 终 疹 标识 符 冒 用 和 自 改 的 情况 ， 进 行 相应 处 昼 。 
(3) 终端 号 份 合 规 性 检测 (终端 病毒 检查 不 合 规 的 违规 内 联 ， 终 端 操 作 系统 补 丁 检查 


不 合 规 的 违规 内 联 ， 终 端 应 用 软件 检查 不 合 规 的 违规 内 联 ， 终 端木 马 检 查 不 合 规 的 违规 内 


联 ;， 终 剖 外 设 控 制 检 查 不 合 规 的 违规 内 联 ， 不合 规 的 违规 内 联 终端 ， 不 被 强制 定位 到 隔离 
区 ; 隔离 区 的 终端 ， 不 进行 有 效 验 证 就 被 允许 入 网 ;隔离 区 内 的 终端 ， 用 户 未 按 流程 进行 
合 规 化 处 理 ) 


事前 处 置 定义 健康 状态 检查 策略 ， 例 如 病毒 木马 检测 、 操 作 系统 补丁 检测 、 应 用 软件 


安装 情况 检 汕 、 外 设 控制 状态 检测 等 。 
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事 中 处 置 : 

v 进行 终端 病毒 健康 状态 检查 

进行 终端 操作 系统 补丁 的 健康 状态 检查 

v 进行 终端 应 用 软件 的 健康 状态 检查 

v 进行 终端 木马 的 健康 状态 检查 

v 进行 终端 外 设 控制 的 健康 状态 检查 。 

v 未 通过 健康 状态 检查 的 终端 进行 用 户 提 示 (显示 用 户 不 合 规 的 具体 内 容 ， 及 后 续 合 
规 化 处 理 的 方式 ) 

v 将 不 合 规 终 端 纳 入 隅 离 区 进行 强制 合 规 处 理 

v 健康 状态 检查 失败 的 终端 身份 信息 进行 日 志 记 录 

事后 处 置 : 根据 整体 安全 态势 分 析 ， 调 整 安 全 策略 ， 和 针对 终 症 下 发 新 的 安全 集 略 。 

处 置 流 程 见 图 B-28。 

(4) 产生 违规 内 联 后 ， 终 端 身 份 信息 识别 

事前 处 置 : 终端 入 网 登记 ， 保 存 终端 相关 识别 信息 。 

事 中 处 置 : 

v 进行 违规 内 联 的 检查 流程 

v 对 于 违规 内 联 的 终端 ， 判 断 其 是 否 在 资产 库 中 有 登记 ， 如 果 有 登记 则 直接 从 资产 库 
中 获取 喘 份 信息 

v 如 违规 内 联 的 终端 不 在 资产 库 中 登记 则 获取 终端 其 他 特征 信息 ， 根 据 特征 信息 判断 
其 身份 〈 机 器 名 等 ) 
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终端 合 规 性 检查 


健康 状态 违规 内 联 
ee 管理 制度 
资产 定位 到 
n> 隔离 区 


操作 系统 
补丁 检查 
合 规 化 处 理 


风险 分 析 


答 证 合 规 人 
处 理 及 告别 


外 设 端口 
CA 后 泪 三光 


正常 便 用 网 络 


安全 策略 po 


图 B-28 


v 对 违规 外 联 的 终端 行为 进行 告警 和 日 志 记 录 
事后 处 置 : 根据 整体 安全 态势 分 析 ， 调 整 安全 策略 ， 针 对 终端 下 发 新 的 安全 集 略 。 
处 置 流 程 见 图 B-29。 
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终端 登记 入 网 
终端 资产 信息 库 


违规 内 联 
检测 流程 


风险 分 析 


从 终端 其 他 特征 
获取 身份 信息 


从 资产 库 中 获 
取 终 端 身份 


安全 策略 人 


图 B-29 


(5) 非 内 网 终端 接 入 内 网 《〈 非 内 网 终端 连 入 内 网 ， 无 流程 化 处 理 ; 非 内 网 终端 连 入 内 
网 ， 无 应 急 处 理 ; 非 内 网 终端 接 入 内 网 ， 无 授权 审批 ， 非 内 网 终端 接 入 内 网 后 ， 用 户 未 按 流 
程 进行 号 份 登记 ; 非 内 网 终端 授权 接 入 内 网 ， 不 进行 安全 检测 ， 非 内 网 终端 授权 接 入 内 网 ， 
不 对 其 上 传 下 载 数据 行为 进行 审计 和 记录 。) 
事前 处 置 : 终端 入 网 登记 ， 保 存 终端 相关 识别 信息 。 
v 终 站 接 入 内 网 验证 终端 号 份 ， 检 查 终 端 是 否 在 资产 库 中 有 合法 登记 。 通 过 则 正常 上 
未 通过 则 进入 临时 入 网 流程 
V 临时 入 网 流程 完成 后 进入 审批 流程 ， 审 批 流程 将 相应 临时 资产 信息 保存 到 资产 库 中 
v 审批 流程 完成 后 再 次 进行 号 份 验证 ， 通 过 吴 份 验证 则 进入 下 一 流程 ， 未 通过 则 再 次 
进入 临时 入 网 流程 修正 临时 入 网 流程 中 存在 的 问题 
w 对 临时 入 网 的 非 内 网 主机 进行 安全 性 检查 
v 对 通过 安全 性 检查 的 临时 入 网 的 非 内 网 终端 记录 上 传 下 载 的 审计 信息 
事后 处 置 安全 管理 员 对 违规 内 联 的 情况 进行 关联 分 析 ， 由 网 络 管理 员 调 整 安全 集 略 。 
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处 置 流程 见 图 B-30。 
非 内 网 终端 接 入 内 网 
系统 管理 员 终端 使 用 者 安 


终端 登记 入 网 


终端 资产 信息 库 


终端 身份 验证 
终端 是 否 在 
资产 库 中 登记 
i 


身份 验证 


身份 验证 
通过 


风险 分 析 
终端 安全 性 


事 中 阶段 


安全 策略 人 


图 B-30 


(6) 非 授 权 使 用 全 地 址 (授权 接 入 内 网 的 终端 ， 使 用 未 经 系统 管理 员 分 配 的 全 或 全 
段 ， 对 非 授 权 使 用 卫 的 终端 不 进行 提示 ; 对 非 授 权 使 用 IP 的 终端 未 进行 审计 上 报 ; 非 授权 
使 用 IP 的 终端 ， 用 户 未 按 提示 修改 IP) 

事前 处 理 : 指定 IP 地 址 分 配方 案 ， 形 成 IP 地 址 列表 。 

事 中 处 置 : 

v 在 终端 入 网 检查 过 程 中 验证 终端 身份 和 卫 地 址 的 对 应 关系 ， 如 果 验 证 通过 则 正常 上 

网 ， 验 证 未 通过 进入 下 一 流程 

v 对 用 户 终端 进行 IP 地 址 配置 不 正确 的 提示 ， 提 示 用 户 修改 

v 对 用 户 终端 违规 使 用 卫 地 址 的 行为 进行 审计 记录 

v 阻 断 违 规 使 用 IP 地 址 终端 的 网 络 连 接 ， 直 至 用 户 修改 IP 地 址 后 重新 验证 入 网 

事后 处 置 : 安全 管理 员 根 据 终 端 违规 使 用 卫 地 址 的 情况 ， 进 行 相 应 处 罚 。 


事后 阶段 
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C7) 非 授权 开启 服务 器 端 服务 授权 终端 ， 开 启 未 经 系统 管理 员 人 允许 的 服务 端 服务 
(DHCP、 代 理 )， 对 非 授权 开启 服务 器 端 服 务 的 终端 不 进行 提示 ;对 非 授权 开启 服务 器 端 服 
务 的 终端 未 进行 审计 上 报 ， 非 授权 开启 服务 器 端 服务 的 终端 ， 用 户 未 按 提示 关闭 服务 

事前 处 理 ， 统 计 内 网 中 基础 网 络 服务 的 服务 器 清单 ， 形 成 服务 与 服务 器 的 对 应 表 。 

事 中 处 置 

在 终端 入 网 检查 过 程 中 验证 其 基础 网 络 服务 的 服务 开启 情况 ， 存 在 开启 基础 网 络 服务 的 

终端 则 验证 服务 与 服务 器 对 应 表 ， 如 果 验 证 通过 则 正 党 上网， 验证 未 通过 进入 下 一 流程 

v 对 用 户 终端 进行 非 授权 开启 基础 网 络 服务 的 提示 ， 提 示 用 户 关闭 

v 对 用 户 终端 违规 开启 基础 网 络 服务 的 行为 进行 审计 记录 

v 阻 断 违规 开启 基础 网 络 服务 的 服务 端口 

事后 处 置 ， 安 全 管理 员 根据 终端 违规 开启 基础 网 络 服务 的 情况 ， 进 行 相应 处 罚 。 

(8) 系统 不 能 发 现 和 解决 的 终端 安全 风险 和 对 策 

(a) 隔离 区 内 的 终端 ， 用 户 未 按 流程 进行 合 规 化 处 理 

隔离 区 内 的 终端 ， 用 户 会 接 到 提示 进行 合 规 化 处 理 的 方法 和 内 容 ， 如 果 用 户 不 按照 提示 
进行 相应 合 规 化 处 理 ， 则 系统 无 法 强制 对 终端 进行 合 规 化 处 理 ， 需 要 从 技术 上 限制 未 进行 合 
规 化 处 理 的 终端 使 用 网 络 资源 (包括 隔离 区 网 络 资源 )， 其 次 以 相应 审计 记录 为 管理 依据 通 
过 行政 管理 的 手段 强制 用 户 进行 合 规 化 处 理 。 

Cb) 非 内 网 终端 接 入 内 网 后 ， 用 户 未 按 流程 进行 身份 登记 

非 内 网 终端 未 通过 身份 验证 的 ， 可 以 按 流程 进行 临时 入 网 ， 如 果 用 户 没有 合理 入 网 需求 
或 不 按 正 常 流程 进行 身份 登记 ， 则 系统 无 法 控制 终端 进行 相应 临时 入 网 处 理 ， 首 先 需要 从 技 
术 角 度 保证 不 进行 临时 入 网 处 理 就 无 法 使 用 网 络 资源 ， 其 次 以 相应 审计 记录 为 管理 依据 通过 
行政 管理 的 手段 要 求 需要 临时 入 网 的 终端 通过 临时 入 网 流程 进行 身份 登记 。 

Ce) 非 授权 使 用 JP 的 终端 用 户 未 按 提示 修改 外 

非 授权 使 用 卫 地 址 的 终端 ， 如 果 用 户 未 按 提示 修改 IP， 则 系统 无 法 控制 终端 的 全 地 址 修 
改 ， 需 要 首先 从 技术 的 角度 保证 非 授 权 使 用 他 地 址 的 终端 无 法 使 用 网 络 资 源 ， 其 次 以 相应 审 
计 记录 为 管理 依据 通过 行政 管理 的 手段 要 求 需 要 非 授权 使 用 耳 地 址 的 终端 修改 也 地 址 。 

Cd) 非 授权 开启 服务 器 端 服务 的 终端 ， 用 户 未 按 提示 关闭 服务 

非 授权 开启 基础 网 络 服务 的 终端 ， 如 果 用 户 未 按 提示 关闭 相应 基础 网 络 服务 ， 则 系统 无 
法 控制 终端 的 服务 开启 或 关闭 ， 需 要 首先 从 技术 的 角度 保证 非 授权 开启 基础 网 络 服务 的 终端 
不 能 使 用 相应 业务 端口 ， 其 次 以 相应 审计 记录 为 管理 依据 通过 行政 管理 的 手段 要 求 需要 非 授 
权 开启 基础 网 络 服务 的 终端 关闭 相应 服务 。 

3， 风 险 控制 效果 

对 于 内 网 中 非法 接 入 和 违规 使 用 的 控制 ， 保 证 访问 内 网 的 终端 安全 可 控 ， 

可 以 针对 终端 的 合法 性 和 合 规 性 进行 检测 和 阻 断 处 理 。 能 针对 不 合 规 的 终端 强制 定位 到 
隔离 区 进行 合 规 处 理 。 针 对 非 内 网 终端 接 入 内 网 进行 流程 化 处 理 和 和 合理 的 授权 管理 ， 并 对 
非 内 网 终端 的 行为 进行 有 效 的 审计 和 监控 ， 针 对 终端 数据 外 泄 事件 可 以 提供 追查 依据 。 


B.3.2 ”违规 外 联 (12 个 风险 点 ) 
1. 风险 分 析 
(1) 风险 描述 


违规 外 联 的 风险 体现 在 : 
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1) 不 能 对 违规 外 联 的 行为 进行 检测 和 阻 断 ， 终 端的 非法 外 联 行为 包括 终端 通过 更 换 网 
线 、 通 过 其 他 数据 接口 或 设备 连接 互联 网 或 其 他 网 络 ， 如 果 不 能 对 违规 外 联 的 行为 进行 检测 
和 阻 断 ， 就 会 产生 数据 外 泄 无 法 管控 、 无 法 追踪 ， 破 坏 系统 安全 边界 ， 违 背 系统 整体 安全 防 
护 策 略 ， 系 统 面临 严重 安全 隐患 。 

2) 不 能 对 终端 离 网 状态 下 的 违规 外 联 进 行 检 测 和 告警 ， 终 端 在 联网 状态 下 由 于 不 连接 
服务 器 ， 不 能 实现 实时 告警 ， 但 是 终端 本 地 可 能 保存 重要 信息 ， 如 果 不 能 在 离 网 状态 下 进行 
违规 外 联 的 检测 和 告警 ， 束 会 导致 信息 外 汇 且 无 法 获知 外 泄 的 行为 。 

3) 不 能 对 终端 连 入 其 他 网 络 进 行 检测 告警 和 阻 断 ， 终 端 违规 连 入 其 他 网 络 《〈 非 互联 ) 
判断 指标 较 难 确定 ， 但 是 违规 连 入 其 他 网 络 可 能 造成 内 网 和 其 他 网 络 的 联通 ， 或 造成 终端 本 
地 信息 向 其 他 网 络 的 外 泄 。 

(2) 相关 风险 点 

违规 外 联 风 险 点 见 表 B-19。 


表 B-19 
风险 属性 ”| 隐患 /风险 
终端 在 内 网 环境 下 的 违规 外 联 不 能 进行 检测 也 


终端 在 内 网 环境 下 的 违规 外 联 不 能 进行 阻 册 原 8 隐患 
祥 端 在 内 网 环境 下 的 违规 外 联 进 行 阻 断 误 报 导致 的 正常 使 用 1 8 风险 
北 检 测 终 端 在 离 网 后 的 违规 外 联 行为 原 8 隐患 
牙 对 终端 离 网 后 的 违规 外 联 行为 进行 审计 记录 和 入 原 8 风险 
端 离 网 状态 下 不 能 进行 阻 断 ， 产 生 信息 外 泄 余 风 险 风险 
联 事 作 原 8 隐患 
网 互联 和 离线 上 网 的 不 同情 ; 原 8 隐患 
E 互 联网 ) 进行 检测 原 8 隐患 
E 互 联网 ) 进行 阻 断 原 8 隐患 
EE 互联网) 进行 审计 记录 和 告 原 8 风险 


(a) 基于 资产 使 用 生命 周期 分 析 
资产 使 用 生命 周期 包含 入 网 前 、 运 行 阶段 、 维 修 阶段 、 报 废 阶段 ， 违 规 外 联 风 险 对 终端 


的 影 啊 在 资产 生命 周期 的 体现 如 下 : 

a) 终端 在 内 网 环境 下 ， 发 生 违规 外 联 不 能 检测 、 阻 晰 和 报警 的 风险 ， 存 在 于 资产 生命 
周期 的 运行 、 维 修 阶段 。 在 运行 阶段 终端 发 生 违规 外 联 风 险 ， 可 能 是 由 于 终端 使 用 者 不 了 解 当 
前 所 处 的 网 络 环境 ， 被 外 界 利用 终端 现 有 的 对 外 接口 连通 了 终端 ， 这 可 能 导致 网 内 数据 外 泄 或 
引入 病毒 和 木马 等 危害 程序 。 因 此 面 对 外 网 的 入 侵 和 攻击 等 威胁 ， 需 要 及 时 检测 、 阻 晰 和 报 
警 ， 才 可 以 有 效 防 护 和 避免 产生 数据 外 泄 或 产生 外 部 攻击 的 途径 。 在 维修 阶段 产生 违规 外 联 ， 
通常 是 由 于 维修 阶段 终端 操作 人 员 不 是 资产 使 用 人 员 ， 一 般 可 能 是 维修 公司 的 人 员 ， 在 使 用 终 
端 时 造成 的 。 由 于 维修 公司 的 人 员 不 属于 内 部 人 员 ， 人 员 管 理 和 用 户 单位 对 资产 使 用 人 员 的 管 
理 力 度 存在 差距 ， 产 生 亚 意 的 泄漏 信息 、 损 害 内 网 资产 的 可 能 性 较 大。 维修 阶 段 连接 外 网 ， 使 
资产 处 于 不 安全 的 网 络 环境 中 ， 会 直接 面 对 外 网 的 入 侵 和 攻击 等 威胁 ， 还 可 能 引入 病毒 和 木马 
等 危害 程序 ， 如 采 不 能 检测 到 该 种 情况 则 无 法 分 析 该 行为 具体 引发 的 影响 ， 导 致 不 能 阻 断 连 接 
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则 无 法 有 效 防护 资产 ， 而 不 能 报警 则 导致 无 法 搜集 和 分 析 该 资产 发 生 的 安全 事件 。 

b) 发 生 违规 外 联 事件 时 ， 不 能 发 现 并 准确 定位 违规 外 联 的 途径 的 风险 存在 于 资产 生命 
周期 的 运行 、 维 修 阶段 。 在 运行 阶段 不 能 发 现 定 位 违规 外 联 的 途径 ， 则 无 法 针对 该 外 联 安全 
事件 进行 对 应 的 管控 行为 ， 无 法 调整 相关 安全 策略 避免 违规 外 联 的 再 次 发 生 ， 并 且 无 法 记录 
信息 的 流通 情况 。 在 维修 阶段 ， 不 能 发 现 并 定位 违规 外 联 的 途径 ， 在 信息 发 生 外 泄 时 就 无 法 
确定 维修 终端 是 如 何 产生 信息 外 泄 的 ， 不 能 针对 维修 终端 进行 防护 策略 和 维修 管理 制度 进行 
针对 性 的 调整 防止 外 汇 行 为 再 次 发 生 ， 

c) 不 能 发 现 、 阻 断 终端 在 离 网 后 的 违规 外 联 行为 的 风险 存在 于 资产 生命 周期 的 运行 、 
维修 阶段 ， 在 运行 阶段 终端 不 进行 离 网 后 的 违规 外 联检 测 ， 可 能 产生 终端 离 网 后 终端 内 信息 
外 泄 、 病 毒 感染 和 木马 入 侵 等 威胁 ， 终 端 再 次 接 入 内 网 之 后 ， 又 可 能 将 这 些 威胁 带 入 内 网 ， 
影响 内 网 的 安全 环境 ， 容 易 引 发 内 网 其 他 终端 的 同类 安全 事件 ， 并 且 可 能 在 离 网 状态 下 生 名 
防护 系统 对 其 状态 和 安全 事件 的 监控 ， 在 维修 阶段 ， 终 端 离 网 意味 着 资产 处 于 工作 人 员 的 监 
管 范围 之 外 ， 也 离开 了 工人 环境， 本身 已 经 处 于 危险 的 运行 环境 ， 如 果 不 能 发 现 违规 外 联 行 
为 ， 可 能 导致 对 于 资产 安全 性 的 重新 检测 和 识别 ， 

d) 发 现 违规 外 联 的 状态 时 ， 无 法 界定 内 外 网 互联 和 离线 上 网 的 不 同情 况 的 风险 存在 于 
资产 生命 周期 的 运行 阶段 ， 在 运行 阶段 不 能 界定 内 外 网 互联 和 离线 上 网 的 违规 外 联 行为 ， 则 
无 法 根据 终端 是 否 在 网 对 违规 外 联 的 行为 进行 区 别处 理 ( 如 在 网 状态 首先 要 断 开 内 网 网 络 连 
接 )， 可 能 因此 而 产生 误 判 或 基于 误 判 结论 分 析 的 情况 采取 不 适当 的 控制 措施 ， 

。) 不 能 对 终端 违规 接 入 其 他 网 络 〈 非 互联 网 ) 进行 监控 管理 的 风险 存在 于 资产 生命 周 
期 的 运行 阶段 和 维修 阶段 ， 在 运行 阶段 没有 终端 接 入 非 互联 网 的 其 他 网 络 进行 检查 ， 则 违规 
外 联 的 终端 同样 存在 信息 外 泄 和 引入 外 部 攻击 的 风险 。 在 维修 阶段 ， 维 修 终端 可 能 由 于 维修 
需要 接 入 其 他 网 络 ， 维 修 终端 接 入 其 他 网 络 就 存在 信息 外 泄 和 引入 外 部 攻击 的 风险 。 

f) 不 能 对 违规 外 联 的 行为 准确 取证 的 风险 存在 于 资产 生命 周期 的 运行 阶段 和 维修 阶 
段 ， 在 运行 阶段 没有 对 终端 违规 外 联 行为 进行 取证 则 无 法 对 终端 违规 外 联 行为 进行 判断 ， 不 
能 评估 违规 外 联 过 程 产生 的 具体 威胁 和 影响 ， 进 而 本 来 应 该 采取 的 相关 安全 措施 无 法 对 应 实 
施 。 在 维修 阶段 不 能 对 违规 外 联 行为 准确 取证 ， 就 造成 了 发 生 安全 事件 时 ， 无 法 明确 安全 事 
件 是 资产 使 用 人 还 是 维修 人 员 的 违规 行为 造成 的 ， 无 法 进行 针对 性 的 处 罚 。 

Cb) 相关 信息 风险 

a) 终端 在 网 状态 下 违规 外 联 不 能 检测 、 阻 断 和 报警 的 风险 。 对 在 线 信 息 的 影响 主要 在 
于 违规 外 联 的 终端 当 连 接 至 应 用 系统 时 可 能 造成 在 线 业务 信息 的 外 泄 。 针 对 存储 信息 的 影响 
在 于 违规 外 联 可 能 造成 本 终端 存储 的 信息 通过 违规 外 联 外 泄 。 

b) 不 能 发 现 、 阻 断 终端 在 离 网 后 的 违规 外 联 行为 的 风险 。 针 对 存储 信息 的 影响 在 于 终 
端 离 网 后 产生 违规 外 联 ， 可 能 造成 本 终端 存储 信息 的 外 汇 。 

c) 发 生 违规 外 联 事件 时 ， 不 能 发 现 并 准确 定位 违规 外 联 的 途径 。 针 对 在 线 信息 和 离线 
信息 ， 不 能 在 发 生 违 规 外 联 时 发 现 并 定位 违规 外 联 的 途径 ， 则 无 法 针对 违规 外 联 的 途径 进行 
相应 控制 〈 如 断 开外 联 途径 )， 终 止 信息 进一步 外 浊 。 

d) 发 现 违规 外 联 的 状态 时 ， 无 法 界定 内 外 网 互联 和 离线 上 网 的 不 同情 况 的 风险 。 针 对 
在 线 信息 的 影响 在 于 ， 不 能 对 内 外 网 互联 和 离线 上 网 区 别处 理 (如 断 开 内 网 连接 等 )， 导 至 
不 能 断 开 违 规 外 联 终端 的 业务 连接 ， 造 成 在 线 业务 信息 的 外 汇 ， 

。) 不 能 对 终端 违规 接 入 其 他 网 络 〈 非 互联 网 ) 进行 监控 管理 的 风险 。 连 接 其 他 网 络 可 
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能 造成 在 线 业务 信息 和 离线 的 存储 信息 问 其 他 网 络 外 泄 。 

(c) 基于 资产 使 用 人 分 析 

a) 终端 在 网 状态 下 违规 外 联 不 能 检测 、 阻 断 和 报警 的 风险 涉及 内 部 人 员 、 临 时 人 员 、 
经 过 入 网 流程 的 外 部 人 员 ， 尤 其 是 内 部 人 员 ， 因 为 内 部 人 员 可 以 接触 到 业务 内 网 中 的 重要 信 
晨 ， 这 些 信息 包括 生产 信息 、 行 业 信息 、 个 人 信息 等 ， 在 违规 外 联 的 情况 下 容易 导致 数据 外 
汇 ; 因为 临时 人 员 涉及 的 信息 重要 程度 没有 内 部 人 员 那 么 多 ， 但 是 违规 外 联 产生 的 系统 安全 
边界 破坏 ， 带 来 的 可 能 的 外 部 攻击 和 内 部 人 员 相 比 危险 是 相同 的 ， 阻 断 的 必要 性 是 很 高 的 ; 
经 过 入 网 流程 的 外 部 人 员 是 有 机 会 接触 部 分 重要 信息 的 ， 而 且 由 于 工作 需要 ， 需 要 进行 内 外 
网 交互 ， 因 此 检测 的 重要 性 比较 高 ， 对 于 阻 断 的 判断 需要 基于 实际 使 用 环境 和 状况 。 

b) 发 生 违规 外 联 事件 时 ， 不 能 发 现 并 准确 定位 违规 外 联 的 途径 时 。 如 宋 是 内 部 人 员 ， 
可 能 是 生产 工作 的 需求 ， 在 不 能 确定 是 否 正常 工作 需要 的 情况 下 ， 可 能 会 需要 对 其 采取 放行 
避免 影响 生产 工作 ， 因 而 对 违规 外 联 的 途径 需要 发 现 和 准确 定位 ， 通 过 了 解 途 径 和 外 联 的 内 
容 ， 才 能 明确 该 行为 的 风险 ; 临时 人 员 如 果 利 用 现 有 网 络 中 的 监控 漏洞 进行 外 联 ， 不 能 确定 
违规 外 联 的 途径 ， 就 无 法 进行 相应 控制 ， 阻 止 外 泄 的 进一步 发 展 ， 避 免 外 部 的 入 侵 途 径 ; 经 
过 入 网 流程 的 外 部 人 员 的 外 联 如 有 果 属 于 例外 开放 ， 并 且 根 据 监控 外 联 数 据 的 内 容 不 属于 信息 
泄密 ， 则 对 于 网 络 的 风险 相对 较 小 。 

c) 不 能 发 现 、 阻 断 终端 离 网 后 的 违规 外 联 行为 。 对 于 内 部 人 员 而 言 ， 可 能 导致 终端 离 
网 后 终端 内 信息 外 泄 : 临时 人 员 和 经 过 入 网 流程 的 外 部 人 员 由 于 涉及 的 信息 重要 程度 不 高 ， 
而 且 使 用 的 终端 可 能 不是 个 人 资产 或 者 外 来 资产 ， 离 网 属于 正常 使 用 ， 因 此 离 网 后 的 违规 外 
联 造 成 的 数据 外 泄 的 严重 程度 与 内 部 人 员 是 不 相同 的 。 

d) 发 现 违 规 外 联 的 状态 时 ， 无 法 界定 内 外 网 互联 和 离线 上 网 的 不 同情 况 的 风险 。 对 于 
内 部 人 员 而 言 ， 在 离线 上 网 的 时 候 依然 有 机 会 发 生 信息 泄密 等 安全 事件 ， 对 于 内 部 人 员 的 终 
端 应 用 来 说 ， 一 旦 暴露 在 外 网 就 存在 这 种 风险 ， 因 此 对 于 界定 两 种 情况 的 风险 在 内 部 人 员 终 
端 上 风险 较 小 ， 因 为 两 者 具有 同等 的 威胁 ; 临时 人 员 以 及 经 过 入 网 流程 的 外 部 人 员 由 于 使 用 
的 终 站 情况 不 同 ， 不 能 界定 内 外 网 互联 和 离线 上 网 的 违规 外 联 行 为 ， 则 无 法 根据 终端 是 否 在 
网 区 别 对 违规 外 联 的 行为 进行 处 理 〈 如 在 网 状态 首先 要 断 开 内 网 网 络 连接 )， 在 无 法 界定 两 
种 情况 时 ， 威 胁 相 对 较 大 。 

e) 不 能 对 终端 违规 接 入 其 他 网 络 〈 非 互联 网 ) 进行 监控 管理 的 风险 对 内 部 人 员 而 言 较 大 ， 因 
为 内 部 人 员 的 终端 进行 的 操作 与 业务 相关 的 可 能 性 非常 大 ， 如 果 接 入 其 他 网 络 一 般 需 要 提前 进行 
申请 和 备案 ， 人 否则 该 行为 可 能 导致 业务 系统 与 外 界 相连 ， 本 地 信息 可 能 会 泄漏 ， 临 时 人 员 以 及 经 
过 入 网 流程 的 外 部 人 员 所 使 用 设备 ， 如 果 没 有 接触 重要 信息 ， 则 终端 接 入 非 互 联网 的 其 他 网 络 也 
需要 进行 检查 ， 不 能 排除 违规 外 联 的 终端 同样 存在 信息 外 汇 和 引入 外 部 攻击 的 风险 。 

f) 不 能 对 违规 外 联 的 行为 准确 取证 的 风险 对 于 内 部 人 员 而 言 ， 由 于 涉及 重要 信息 ， 所 
以 在 违规 外 联 行为 中 传递 的 数据 必须 经 过 准确 取证 才能 确保 信息 的 安全 ; 临时 人 员 以 及 经 过 
入 网 流程 的 外 部 人 员 如 果 无 法 对 终端 违规 外 联 行为 提供 准确 取证 ， 将 无 执法 依据 ， 因 此 无 论 
征 内 部 人 员 、 临 时 人 员 还 是 经 过 入 网 流程 的 外 部 人 员 ， 联 入 内 网 的 前 提 都 是 遵守 内 网 的 管理 
要 求 。 帮 违规 均 需 要 进行 相应 的 处 理 。 

(d) 风险 场景 

a) 终端 内 网 在 线 状态 下 连接 互联 网 ， 当 终 闪 连 接 内 网 时 违规 连 入 互联 网 ， 由 于 互联 网 用 户 成 
分 复杂 ， 容 易 引 入 互联 网 中 恶意 用 户 的 攻击 、 及 病毒 和 恶意 代码 ， 同 时 终端 中 存储 的 信息 和 终端 
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连接 业务 系统 的 在 线 信息 如 通过 互联 网 外 汇 ， 无 法 对 外 泄 信息 的 传播 范围 进行 控制 和 传播 目的 无 
法 确定 ， 风 险 极 大 ， 需 要 通过 技术 手段 严格 禁止 终端 内 网 在 线 状态 下 的 互联 网 违规 连接 ， 

b) 终端 内 网 离线 状态 下 的 互联 网 连接 ， 终 端 在 内 网 离线 的 状态 下 违规 连 入 互联 网 ， 虽 
然 不 会 通过 终端 造成 互联 网 威胁 对 内 网 的 直接 攻击 ， 但 是 也 存在 互联 网 中 的 病毒 和 恶意 代码 
传播 至 终端 本 地 ， 造 成 对 于 终端 本 身 的 侵害 ， 另 外 当 终端 重新 登录 至 内 网 时 ， 会 造成 病毒 及 
恶意 代码 向 内 网 的 传播 。 终 端 在 离 网 状态 下 ， 业 务 信息 不 会 直接 通过 互联 网 向 外 传播 ， 但 是 
终端 本 地 保存 的 离线 信息 ， 可 能 通过 互联 网 外 泄 ， 因 此 在 信息 外 港 的 方面 也 存在 很 大 风险 ， 
需要 通过 技术 手段 严格 禁止 终端 内 网 连 线 状态 下 的 互联 网 违规 连接 。 

c) 终端 内 网 在 线 的 状态 下 连接 非 互联 网 的 其 他 网 络 或 终端 ， 其 他 网 络 或 其 他 终端 均 可 
能 存在 恶意 的 攻击 ， 通 过 违规 外 联 的 终端 直接 攻击 内 网 ， 通 过 传播 病毒 及 恶意 代码 ， 终 端 在 
连接 内 网 的 状态 下 可 能 向 连接 的 其 他 网 络 或 其 他 终端 传播 业务 信息 和 终端 保存 的 本 地 信息 ， 
相对 于 互联 网 ， 通 过 其 他 网 络 或 终端 外 泄 的 信息 在 一 定 程度 上 更 容易 进行 事后 的 追查 ， 但 是 
外 泄 的 风险 依然 很 大 。 需 要 通过 技术 手段 禁止 或 者 严格 进行 数据 传输 监控 审计 。 

d) 终端 在 内 网 离线 的 状态 下 连接 非 互联 网 的 其 他 网 络 或 终端 ， 其 他 网 络 或 或 其 他 终端 
不 能 通过 违规 外 联 的 终端 攻击 内 网 ， 但 是 可 能 向 违规 终端 传播 病毒 及 恶意 代码 ， 当 终端 重新 
连接 至 内 网 时 ， 还 可 能 造成 病毒 及 恶意 代码 向 内 网 传播 ， 终 端 在 内 网 离 网 的 状态 下 ， 在 线 的 
业务 信息 不 会 通过 连接 的 其 他 网 络 或 其 他 终端 外 泄 ， 但 是 终端 本 地 保存 的 信息 可 能 通过 连接 
的 其 他 网 络 或 其 他 终端 外 泄 ， 因 此 终端 在 内 网 离线 的 状态 下 连接 非 互联 网 的 其 他 网 络 或 终端 
需要 通过 技术 手段 禁止 或 者 严格 进行 数据 传输 监控 审计 。 

Ce) 合 规 性 要 求 

合 规 性 要 求 见 表 B_20。 


表 B-20 


序号 等 级 保护 〈 三 级 ) 要 求 符合 程度 


7.1.2.4 边界 完整 性 检查 〈S3 ) 
1 网 络 安全 b) 应 能 够 对 内 部 网 络 用 户 私自 联 到 外 部 网 络 的 行为 进行 格 符合 
， 准 确定 出 位 置 ， 并 对 其 进行 有 效 阻 断 


基于 以 上 风险 点 分 析 ， 如 采取 相关 技术 和 管理 手段 管控 8 个 风险 点 ， 则 终端 违规 外 联 部 
分 管理 符合 等 级 保护 相关 要 求 。 

相关 技术 和 管理 的 风险 管控 措施 参见 以 下 小 节 阐 述 。 

2. 风险 管控 

(1) 终端 在 网 状态 下 违规 外 联检 测 、 阻 断 和 报警 控制 流程 〈 终 端 在 内 网 环境 下 的 违规 外 
联 不 能 进行 检测 ;终端 在 内 网 环境 下 的 违规 外 联 不 能 进行 阻 断 ;终端 在 内 网 环境 下 的 违规 外 
联 进行 阻 断 误 报 导致 的 正常 使 用 终端 断 网 ) 

事前 处 置 : 定义 内 网 范围 ， 定 义 外 网 连接 ， 区 分 内 外 网 的 识别 方式 ， 定 义 违规 外 联 的 处 
理 操作 。 

事 中 处 置 : 

v 实时 检测 外 网 联通 状态 ， 没 有 联通 外 网 继续 正常 上 网 

v 存在 联通 外 网 的 情况 进行 用 户 终端 违规 外 联 行为 的 提示 《屏幕 显示 ， 提 示 用 户 当前 

状态 ) 
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v 根据 违规 外 联 安全 策略 设 定 执行 操作 


v 记录 违规 外 联 行为 及 终端 使 用 者 的 操作 ， 发 送 全 防护 平台 服务 器 
v 管理 平台 分 析 风 险 


事后 处 置 : 根据 整体 安全 态势 分 析 ， 调 整 安全 策略 ， 针 对 终端 下 发 新 的 安全 策略 。 
处 置 流程 见 图 B-31。 


终端 在 线 状态 下 违规 外 联 


内 网 范围 ， 外 联 
方式 ， 内 网 识别 违规 外 联 
方式 的 定义 管理 制度 


外 联检 测 


联通 外 网 


安全 策略 
调整 


图 B-31 
(2) 终端 在 离 网 状态 下 违规 外 联检 测 、 阻 电 和 报警 控制 流程 〈 不 能 检测 终端 在 离 网 后 的 
违规 外 联 行为 ， 不 能 对 终端 离 网 后 的 违规 外 联 行为 进行 审计 记录 和 告警 终端 离 网 状态 下 不 
能 进行 阻 断 ， 产 生 信 息 外 汇 ) 
事前 处 置 : 定义 内 网 范围 ， 定 义 外 网 连接 ， 区 分 内 外 网 的 识别 方式 ， 定 义 违 规 外 联 的 处 
理 操作 ， 将 策略 保存 至 终端 本 地 。 
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事 中 处 置 : 
v 实时 检测 外 网 联通 状态 
v 存在 联通 外 网 的 情况 进行 用 户 终端 违规 外 联 行为 的 提示 (屏幕 显示 ， 提 示 用 户 当 前 
状态 ) 
记录 违规 外 联 行为 及 终端 使 用 者 的 操作 ， 在 本 地 保存 审计 记录 
v 终端 再 次 入 网 后 ， 上 传 审计 信息 并 对 终端 高 网 状态 的 违规 行为 向 系统 管理 员 告 区 
v 管理 平台 分 析 风险 
事后 处 置 ， 根 据 整体 安全 态势 分 析 ， 调 整 安全 策略 ， 针 对 终端 下 发 新 的 安全 策略 ， 
处 置 流程 见 图 B-32， 


终端 使 用 者 


内 网 范围 ， 外 联 - - 
方式 ， 内 网 识别 违规 外 联 
方式 的 定义 管理 制度 


外 联检 测 


终端 再 次 
接 入 内 网 


ee 关联 分 析 


图 B-32 
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(3) 发生 违规 外 联 事件 时 ， 不 能 发 现 并 准确 定位 违规 外 联 的 途径 

事 中 处 置 : 

v 监控 违规 外 联 可 能 产生 的 方式 ， 包 括 : 

() 网络 接口 直接 换 用 外 网 网 线 。 

@@ 采用 无 线 网 卡 外 联 。 

(3) 通过 拨号 外 联 。 

4) 通过 红外 、 蓝 牙 等 数据 接口 外 联 。 

采用 双 网 卡 连 接 外 网 网 线 外 联 等 。 

v 针对 不 同 违规 外 联 的 途径 进行 对 应 的 控制 

v 进行 用 户 终端 违规 外 联 途径 的 提示 《屏幕 显示 ， 要 求 用 户 确定 ) 

v 记录 违规 外 联 行为 及 终端 使 用 者 的 操作 ， 发 送 至 防护 平台 服务 占 

v 管理 平台 分 析 风 险 

事后 处 置 根据 整体 安全 态势 分 机 ， 调 整 安全 策略 ， 针 对 终端 下 发 新 的 安全 策略 。 

(4) 发 现 违规 外 联 的 状态 时 ， 无 法 界定 内 外 网 互联 和 离线 上 网 的 不 同情 况 

事前 处 置 : 指定 内 网 终端 数据 端口 /网 络 端口 的 管理 策略 ， 按 照 策略 关闭 非 经 授权 的 数 
据 / 网 络 端口 ， 限 制 可 能 产生 违规 外 联 的 途径 。 

事 中 处 置 : 

v 发 现 违规 外 联 行为 产生 时 ， 判 断 终端 是 否 连接 全 内 网 。 对 于 连接 全 内 网 的 违规 终端 

首先 断 开 内 网 连接 〈 保 持 服 务 器 的 管理 通道 ， 便 于 服务 器 对 终端 的 继续 控制 ) 

v 对 于 违规 外 联 的 途径 进行 控制 ， 断 开 相 应 数据 /网 络 接口 

v 进行 用 户 终端 违规 外 联 行为 的 提示 《屏幕 显示 ， 要 求 用 户 确定 ) 

v 审计 记录 违规 外 联 行为 ， 保 存 审计 记录 至 防护 平台 服务 器 

事后 处 置 管理 员 通 过 违规 外 联 的 记录 对 违规 外 联 行为 进行 退 滴 ， 并 通过 管理 流程 进行 
相应 的 处 宰 。 

(5) 终端 违规 连接 其 他 网 络 〈 非 互联 网 ) 违规 外 联检 测 、 阻 断 和 报警 控制 流程 (不 能 对 
终端 违规 接 入 其 他 网 络 ( 非 互联 网 ) 进行 检测 ， 不 能 对 终端 违规 接 入 其 他 网 络 〈 非 互联 网 ) 
进行 阻 断 ， 不 能 对 终端 违规 接 入 其 他 网 络 《〈 非 互联 网 ) 进行 审计 记录 和 告警 ) 

事前 处 置 : 定义 内 网 范围 ， 定 义 外 网 连接 ， 区 分 内 外 网 的 识别 方式 ， 定 义 违 规 外 联 的 处 


理 操作 
事 中 处 置 : 
v 实时 检测 外 网 联通 状态 (联通 外 网 的 检查 标准 和 连接 互联 网 的 检测 标准 不 同 )， 没 有 
联通 外 网 继续 正常 上 网 
v 存在 违规 连接 外 网 进行 用 户 终端 违规 外 联 行为 的 提示 (屏幕 显示 ， 提 示 用 户 当前 
状态 ) 


v 判断 终端 是 否 连接 内 网 ， 如 连接 内 网 则 直接 产生 告警 和 审计 记录 ， 并 根据 违规 外 联 
安全 策略 设 定 执行 操作 

v 如 非 内 网 连接 状态 则 将 审计 记录 保存 在 本 地 ， 终 端 再 次 入 网 后 上 传 审 计 记录 并 产生 
系统 管理 员 告警 


管理 平台 分 析 风险 
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事后 处 置 : 根据 整体 安全 态势 分 析 ， 调 整 安 全 策略 ， 和 针对 终 并 下 发 新 的 安全 集 略 。 
处 置 流 程 见 图 B-33。 


终端 违规 连接 其 他 网 络 
终端 使 用 者 


内 网 范围 ， 外 联 本 本 和 
方式 ， 内 网 识别 违规 外 联 
方式 的 定义 管理 制度 


: 日 志 记 录 


终端 曲折 
连 入 内 网 


关联 分 析 


图 B-33 
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注 : 处 置 流 程 和 终端 违规 连接 互联 网 的 处 置 流程 基本 一 致 ， 主 要 的 区 别 在 于 对 违规 外 
联 的 判断 标准 有 区 别 ， 针 对 连接 互联 网 和 连接 至 非 互 联网 络 判断 方式 不 同 ) 

(6) 不 能 对 违规 外 联 的 行为 准确 取证 

事 中 处 置 : 

v 发 现 违 规 外 联 行为 产生 时 ， 记 录 违 规 外 联 的 审计 记录 ， 保 存 人 至 防护 平台 服务 器 

v 对 违规 外 联 的 行为 进行 取证 违规 外 联 的 访问 记录 、 违 规 外 联 访 问 的 访问 关键 字 等 

原始 记录 信息 )， 保 存 至 防护 平台 服务 器 

事后 处 置 : 管理 员 通 过 违规 外 联 的 记录 对 违规 外 联 行为 进行 退 滴 ， 并 通过 管理 流程 进行 
相应 的 处 罚 ， 处 罚 时 以 防护 平台 保存 的 访问 原始 记录 作为 处 如 依据 。 

(7) 系统 不 能 发 现 和 解决 的 终端 安全 风险 和 对 策 

终端 离 网 状态 下 不 能 进行 阻 断 ， 产 生 信息 外 泄 。 终 端 离 网 后 ， 防 护 平 台 不 能 主动 对 终端 
打开 网 络 连接 ， 从 而 无 法 实施 对 离 网 终端 的 信息 外 泄 行 为 进行 阻 断 。 需 要 加 强 终端 外 出 携 融 
的 管理 工作 并 限制 在 办 公 场 所 通过 有 线 或 无 线 手段 的 外 网 连接 条 件 。 

3. 风险 控制 效果 

对 于 终端 违规 外 联 的 控制 ， 实 现 了 对 于 终端 连接 内 网 或 断 开 内 网 时 的 违规 外 联 行为 ， 违 
规 行为 包括 违规 连接 互联 网 和 违规 连接 非 互 联网 的 其 他 网 络 ， 并 可 检测 到 终端 的 违规 外 联 途 
径 ， 可 以 判断 离线 上 网 和 内 外 网 互联 的 不 同行 为 针对 性 的 实施 管控 捕 施 ， 并 可 以 对 违规 行为 
进行 取证 以 实现 行政 处 罚 的 依据 。 


B.3.3 ”漫游 管理 (9 个 风险 扩 ) 


1. 风险 分 析 

(1) 风险 描述 

漫游 管理 的 风险 体现 在 : 

1) 终端 异地 调拨 或 行业 内 工作 人 员 携 带 终 端 异地 办 公 时 ， 终 端 在 行业 内 部 不 同 单位 之 
间 漫 游 时 ， 目 的 地 服务 器 不 能 发 现 ， 并 自动 接管 漫游 终端 ， 导 致 终端 在 漫游 过 程 中 不 能 在 异 
地 网 络 中 正常 使 用 ， 漫 游 目的 地 服务 器 没有 预定 于 漫游 组 并 将 漫游 终端 纳入 漫游 组 中 进行 针 
对 性 管控 ， 导 致 漫游 终端 不 能 被 区 别 性 的 处 理 ， 由 于 漫游 终端 本 身 的 流动 性 特点 ， 带 来 的 安 
全 隐患 。 

2) 漫游 终端 不 能 静默 通过 目的 地 网 络 中 802.1X 认证 ， 导 致 漫游 终端 无 法 使 用 目的 地 网 
络 资源 。 

3) 源 服务 器 无 法 获取 漫游 终端 的 漫游 状态 信息 ， 源 服务 器 不 能 掌握 漫游 终端 的 实际 漫 
游 情况 ， 产 生 终端 的 随意 漫游 。 漫 游 终端 不 将 告警 信息 和 审计 记录 上 报 给 目的 地 服务 器 造成 
目的 地 服务 器 对 漫游 终端 的 使 用 情况 不 可 获知 ， 不 能 发 现 漫游 终端 产生 的 安全 事件 以 及 针对 
漫游 终端 的 安全 事件 进行 响应 。 漫 游 终端 返回 归属 地 时 ， 不 上 报 漫 游 期 间 的 违规 行为 至 源 服 
务 器 ， 导 致 不 能 针对 漫游 终端 的 违规 行为 进行 处 加 ， 并 根据 漫游 终端 违规 行为 发 生 情况 调整 
对 漫游 的 管理 。 

(2) 相关 风险 点 

漫游 管理 的 风险 点 见 表 B-21。 
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表 B-21 
隐患 /风险 

终端 在 行业 内 部 不 同 单位 之 间 漫 游 时 ， 目 的 地 服务 器 不 能 发 现 ， 并 自 隐患 

动 接管 漫游 终端 ~ SS 
目的 地 服务 器 不 能 预定 义 漫 游 组 ， 并 自动 将 漫游 终端 归 入 漫游 组 《 隐患 

目的 地 服务 器 不 能 针对 漫游 组 预定 义 各 种 安全 策略 《 隐患 

源 服务 器 对 终端 漫游 数据 下 发 错误 导致 漫游 终端 无 法 在 目的 地 入 网 风险 

漫游 目的 地 服务 器 下 发 的 漫游 组 安全 策略 弱 于 漫游 终端 在 源 网 络 中 的 隐患 

安全 策略 
在 所 有 服务 器 均 启 用 802.1X 认证 的 情况 下 ， 终 端 在 漫游 状态 时 ， 不 能 隐患 

争 默 通 过 802.1X 认证 和 接 入 网 络 
终端 所 属 源 服 务 器 不 能 获取 终端 漫游 状态 信息 《 隐患 

终端 漫游 时 ， 不 能 自动 将 各 种 审计 报警 日 志 上 报 至 目的 地 服务 器 ai 风险 

到 注册 源 服务 器 后 ， 不 能 及 时 上 报 终 端的 漫游 期 间 的 违规 行为 l 了 风险 


(a) 相关 资产 生命 周期 
资产 生命 周期 包含 入 网 前 、 运 行 阶段 、 维 修 阶段 、 报 废 阶段 ， 违 规 内 联 风险 对 终端 的 影 
啊 在 资产 生命 周期 的 体现 如 下 : 


a) 终端 在 行业 内 部 不 同 单位 之 间 漫 游 时 ， 目 的 地 服务 器 不 能 发 现 ， 并 自动 接管 漫游 终 
端的 风险 存在 于 资产 生命 周期 的 运行 阶段 ， 在 运行 阶段 目的 地 服务 器 不 能 发 现 并 接管 漫游 终 
端 ， 则 漫游 终端 无 法 通过 流程 自动 获得 入 网 ， 需 要 手工 干预 ， 影 响 效 率 。 

b) 目的 地 服务 器 不 能 预定 义 漫 游 组 ， 并 自动 将 漫游 终端 归 入 漫游 组 中 的 风险 存在 于 资 
产生 命 周 期 的 运行 阶段 ， 在 运行 阶段 不 能 预定 义 漫游 组 并 自动 将 漫游 终端 归 入 漫游 组 中 则 无 
法 实现 漫游 终端 的 针对 性 管理 。 

c) 目的 地 服务 器 不 能 针对 漫游 组 预定 义 各 种 安全 策略 的 风险 存在 于 资产 生命 周期 的 运 
行 阶段 ， 在 运行 阶段 没有 针对 漫游 组 预定 义 各 种 安全 策略 则 不 能 针对 性 对 漫游 终端 实现 安全 
部 署 ， 从 技术 上 支撑 对 于 漫游 终端 的 针对 性 管理 。 

d) 源 服务 器 对 终端 漫游 数据 下 发 错误 导致 漫游 终端 无 法 在 目的 地 入 网 的 风险 ， 存 在 于 
资产 生命 周期 的 运行 阶段 ， 在 运行 阶段 源 服务 器 下 发 终端 漫游 数据 时 如 果 存 在 错误 ， 可 能 导 
致 终端 无 法 在 目的 地 网 络 由 于 漫游 参数 不 匹配 而 无 法 入 网 使 用 。 

e) 漫游 目的 地 服务 器 下 发 的 漫游 组 安全 策略 弱 于 漫游 终端 在 源 网 络 中 的 安全 策略 的 风 
险 ， 存 在 于 资产 生命 周期 的 运行 阶段 ， 在 运行 阶段 终端 漫游 至 目的 地 网 络 ， 由 于 目的 地 网 络 
需要 对 漫游 组 统一 进行 管理 ， 所 有 漫游 终端 按 统一 的 安全 部 署 进行 管控 ， 则 在 源 网 络 中 如 果 
是 比较 重要 的 终端 会 导致 漫游 目的 网 络 的 安全 管控 措施 低 于 源 网 络 中 的 措施 ， 对 重要 终端 资 
产 产生 风险 。 

f) 在 所 有 服务 器 均 启 用 802.1X 认证 的 情况 下 ， 终 端 在 漫游 状态 时 ， 不 能 静默 通过 
802.1X 认证 和 接 入 网 络 的 风险 存在 于 资产 生命 周期 的 运行 阶段 ， 在 运行 阶段 不 能 使 漫游 终端 
静默 通过 802.1X 认证 ， 则 合法 漫游 终端 无 法 获取 网 络 资源 入 网 使 用 。 

g) 终端 所 属 源 服 务 器 不 能 获取 到 终端 漫游 信息 的 风险 存在 于 资产 生命 周期 的 运行 阶 
段 ， 在 运行 阶段 源 服务 器 不 能 获得 终端 漫游 信息 ， 源 服务 器 无 法 验证 终端 漫游 申请 的 和 目的 
地 是 否 相 符 ， 无 法 检测 终端 随意 漫游 的 行为 。 

h) 终端 漫游 时 ， 不 能 自动 将 各 种 审计 报警 日 志 上 报 至 目的 地 服务 器 的 风险 存在 于 资产 
生命 周期 的 运行 阶段 ， 在 运行 阶段 如 果 漫 游 终 端 不 能 将 各 种 审计 告警 日 志 上 报 至 目的 地 服务 
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器 ， 则 目的 地 服务 器 无 法 对 漫游 终端 造成 的 安全 事件 进行 统一 管理 。 

i) 处 于 漫游 状态 的 终端 在 回 到 注册 源 服 务 器 后 ， 不 能 及 时 上 报 终端 的 误 游 期 间 的 违规 
行为 的 风险 存在 于 资产 生命 周期 的 运行 阶段 ， 在 运行 阶段 源 服务 絮 不 能 掌握 终端 漫游 期 间 的 
安全 事件 ， 无 法 追查 终端 可 能 信息 外 泄 ， 以 及 进行 相应 处 罚 。 

(b) 相关 信息 风险 

a) 漫游 目的 地 服务 器 下 发 的 漫游 组 安全 策略 弱 于 漫游 终端 在 源 网 络 中 的 安全 策略 。 终 
端 漫游 目的 地 的 安全 控制 策略 如 果 弱 于 终 剖 在 源 网 络 中 的 安全 集 略 ， 就 会 对 漫游 终端 本 地 保 
存 的 信息 产生 威胁 。 

b) 目的 地 服务 器 不 能 预定 义 漫游 组 ， 并 上 自动 将 漫游 终端 归 入 漫游 组 中 的 风险 。 漫 游 终 
端 作为 非 本 地 终端 ， 其 设备 和 人 员 管 理 必然 难以 做 到 本 地 终端 本 地 人 员 相 同 的 力度 ， 这 就 存 
在 比 本 地 终端 更 大 的 信息 外 泄 风 险 。 针 对 在 线 业 务 信息 漫游 终端 如 没有 定义 特定 组 ， 并 归 入 
该 组 管理 ， 就 不 能 弥补 漫游 终端 相应 的 管理 弱点 ， 可 能 造成 在 线 信 息 的 外 港 。 

c) 目的 地 服务 器 不 能 针对 漫游 组 预定 义 各 种 安全 策略 的 风险 。 漫 游 终 端 归 入 特定 群 组 
管理 ， 但 是 没有 手段 进行 针对 性 的 安全 集 略 部 署 ， 则 还 是 无 法 保证 对 漫游 终端 针对 性 的 安全 
部 车， 容易 造成 在 线 信息 的 外 泄 。 

d) 处 于 漫游 状态 的 终端 ， 在 回 到 注册 源 服务 占 后 ， 不 能 及 时 上 报 终端 的 漫游 期 间 的 违 
规 行 为 的 风险 。 针 对 存储 信息 ， 漫 洲 终 端的 违规 行为 如 不 能 回 到 注册 服务 器 后 及 时 上 报 ， 源 
服务 器 束 无 法 掌握 漫游 终端 漫游 期 间 的 违规 行为 ， 无 法 对 漫游 终 问 本 地 保存 的 信息 的 外 汇 行 
为 进行 奶 查 和 处 训 。 

(Cc) 基于 资产 使 用 人 分 析 

按照 资产 使 用 人 的 定义 ， 外 部 人 员 包 括 厂 商 运 维和 人 员 和 系统 内 外 来 人 员 ， 因 此 漫游 管理 
类 的 风险 只 涉及 外 部 人 员 。 

(d) 合 规 性 要 求 

合 规 性 要 求 见 表 B-22。 


表 B-22 
A 符合 程度 
等 级 保护 中 没有 明确 的 对 漫游 管理 的 要 求 


相关 技术 和 管理 的 风险 管控 措施 参见 以 下 小 节 阐 述 。 

2， 风 险 管控 

(1) 漫游 入 网 和 管控 〈 终 端 在 行业 内 部 不 同 单位 之 间 漫 游 时 ， 目 的 地 服务 器 不 能 发 现 ， 
并 自动 接管 漫游 终端 ， 目 的 地 服务 器 不 能 预定 义 漫 游 组 ， 并 自动 将 漫游 终端 归 入 漫游 组 中 
目的 地 服务 器 不 能 针对 漫游 组 预定 义 各 种 安全 策略 ， 源 服务 器 对 终端 漫游 数据 下 发 错误 导致 
漫游 终端 无 法 在 目的 地 入 网 漫游 目的 地 服务 器 下 发 的 漫游 组 安全 策略 弱 于 漫游 终端 在 源 网 
络 中 的 安全 策略 ) 

事前 处 置 : 预定 义 漫游 组 ， 并 定义 漫游 组 的 相关 控制 策略 。 

事 中 处 置 ; 

v 终端 漫游 前 向 归属 地 服务 器 提交 漫游 申请 ， 归 属地 服务 器 下 发 相应 的 漫游 数据 

v 终端 在 漫游 地 入 网 时 ， 会 根据 终端 所 携带 的 漫游 数据 调整 相应 准 入 策略 

v 终端 准 入 网 络 后 ， 目 的 服务 器 按照 预定 义 漫游 组 的 安全 规则 ， 漫 游 终 端 按 照 漫 游 组 
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的 安全 规则 进行 防护 
处 置 流程 见 图 B-34。 


漫游 入 网 和 管控 


终 凋 使 用 人 


漫游 终端 发 发 漫游 信息 

漫游 终端 发 起 | 下 发 漫游 1 源 服务 器 
漫游 组 管 
理 员 策略 


终端 目的 
网 络 入 网 


准 入 控制 策略 


准 入 挫 验证 漫游 信息 
9 | 验证 漫游 目的 服务 器 


按 漫游 组 主 控 策略 
策略 管理 


终端 联网 
使 用 


图 B-34 


(2) 在 所 有 服务 器 均 启 用 802.1X 认证 的 情况 下 ， 终 端 在 漫游 状态 时 ， 不 能 静默 通过 
802.1X 认证 和 接 入 网 络 

事 中 处 置 ; 

v 漫游 终端 向 目的 地 服务 器 上 报 漫游 信息 

v 目的 地 服务 器 和 网 管 系统 接口 ， 由 网 管 系统 控制 网 络 设备 打开 漫游 终端 的 逻辑 端口 

限制 

v 漫游 终端 静默 通过 802.1X 认证 

(3) 漫游 信息 上 报 〈 终 端 所 属 源 服 务 器 不 能 获取 到 终端 漫游 状态 信息 ; 终端 漫游 时 ， 不 
能 自动 将 各 种 审计 报警 日 志 上 报 至 目的 地 服务 器 ;， 回 到 注册 源 服 务 器 后 ， 不 能 及 时 上 报 终端 
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的 漫游 期 间 的 违规 行为 ) 

事 中 处 置 ; 

v 漫游 终端 入 网 提交 漫游 信息 ， 目 的 地 服务 器 将 漫游 信息 发 送 至 源 服务 器 

v 漫游 终端 联网 使 用 后 产生 告警 信息 和 审计 日 志 上 报 至 目的 地 服务 器 

v 终端 返回 归属 地 后 将 本 地 存储 的 告警 信息 和 审计 日 志 上 报 至 源 服 务 器 

v 对 漫游 终端 产生 的 告警 和 审计 日 志 进 行 风 险 分 析 

事后 处 置 : 根据 对 漫游 终端 的 风险 分 析 ， 源 服务 器 和 目的 服务 器 分 别 调整 针对 漫游 管理 的 
安全 策略 。 根 据 源 服务 器 接收 的 告警 和 审计 日 志 对 漫游 终端 在 漫游 期 间 的 违规 行为 进行 处 罚 。 

处 置 流程 见 图 B-35。 


漫游 信息 上 报 


终端 使 用 人 


终端 目的 地 se 
网 络 入 网 
准 入 榨 制 策 咯 
验证 漫游 信息 
: | 目的 服务 器 风险 分 析 


支 全 策略 调整 


处 罚 决 定 


图 B-35 
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(4) 系统 不 能 发 现 和 解决 的 终端 安全 风险 和 对 策 

漫游 终端 在 漫游 目的 地 的 安全 管控 措施 可 能 弱 于 漫游 终端 在 归属 网 络 中 的 管控 措施 。 如 
果 漫 游 终端 在 归属 地 属于 重要 终端 资产 ， 终 端 中 保存 了 重要 的 信息 ， 则 漫游 终端 在 归属 地 必 
然 会 依照 严格 的 管控 措施 进行 管控 。 当 漫游 终端 在 漫游 目的 地 入 网 时 ， 则 需要 接受 漫游 目的 
地 对 漫游 组 的 统一 策略 管理 。 由 于 归属 地 对 漫游 目的 地 的 管控 平台 没有 控制 权 ， 所 以 可 能 千 
成 归属 地 的 重要 终端 资产 没有 按照 原 有 的 强度 进行 管控 ， 给 归属 地 的 信息 资产 带 来 威胁 。 这 
就 需要 漫游 归属 地 和 目的 地 的 系统 管理 员 进 行 协调 ， 针 对 重要 的 终端 资产 进行 特别 保护 。 

3， 风 险 控制 效果 

通过 漫游 管理 的 管控 实现 终端 有 效 的 漫游 入 网 管理 ， 保 证 针对 性 地 实施 管理 策略 ， 保 证 
对 漫游 终端 的 针对 性 管控 部 署 ， 对 漫游 终端 产生 的 告警 和 审计 记录 有 效 的 分 别 向 漫游 目的 地 
服务 器 和 漫游 归属 地 服务 器 上 报 ， 并 由 目的 服务 器 和 源 服务 器 配合 进行 监管 
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终端 信息 安全 风险 ( IR : Information Risk ) 为 终端 中 存储 的 信息 ， 以 及 信息 在 传递 过 程 
中 所 面临 的 风险 。 该 类 风险 包括 传输 过 程 风 险 、 信 息 共 享 风 险 、 介 质 存 储 风险 以 及 加 密使 用 
风险 ， 详 见 图 C-1。 


IR1.1.1- 信 息 传输 的 风险 
IR1.1.2- 移 动 存储 介质 违规 使 用 的 风险 
IR1.1.3- 信 息 文档 保护 的 风险 


IR1.1.4- 信 息 共 享 的 风险 


IR- 信 息 安全 风险 IR1.1- 信 息 扩散 风险 


IR1.1.5- 信 息 的 非 技术 沪 汤 的 风险 


IR1.1.6- 人 为 灾害 的 风险 


图 C-1 错 误 ! 


C.1 信息 扩散 风险 


C.1.1 信息 传输 (8 个 风险 点) 


1. 风险 分 析 

(1) 风险 描述 

言 妃 传输 的 风险 体现 为 内 网 终端 由 于 需要 处 理 生产 办 公 任 务 ， 所 以 存在 着 大 量 的 重 
要 信息 ， 而 且 根 据 业 务 需 要 ， 这 些 重 要 信息 在 内 网 中 传输 流转 的 方式 也 是 各 种 各 样 ， 文 
件 传 输 的 不 可 控 、 不 可 审计 引发 一 系列 问题 : 

1) 邮件 发 送 的 不 可 控 、 不 可 审计 导致 重要 文件 通过 邮件 方式 不 受 控 流转 ， 产 生 扩 
散 ， 且 管理 人 员 对 扩散 的 情况 不 可 知 。 

2) 打印 行为 的 不 可 探 、 不 可 审计 ， 导 致 重要 文件 通过 打印 方式 扩散 或 外 泄 ， 且 管理 
人 员 对 扩散 和 外 泄 的 情况 不 能 掌握 。 

3) 内 网 终端 中 存在 国家 秘密 信息 ， 严 重 违 反 国 家 相应 法 律 法 规 ， 由 此 可 能 产生 泄密 
事件 。 

(2) 相关 风险 点 

言 恩 传 输 的 风险 点 详 见 表 C-1。 


SR 多 安全 风险 管理 


风险 属性 隐患 /风险 


信息 传输 


不 审计 终端 的 打印 行为 (包括 终端 属 怕 
FE、 份 数 、 打 印 机 等 ) 


终端 (包括 移动 存储 设备 ) 上 存在 国家 秘密 级 或 以 上 密级 的 
的 安全 风险 


(a) 相关 资产 生命 周期 

资产 生命 周期 包含 入 网 前 、 运 行 阶段 、 维 修 阶段 、 报 废 阶段 ， 信 息 传 输 风 险 对 终端 的 影 
啊 在 资产 生命 周期 的 体现 如 下 : 

a) 不 具有 发 送 邮件 行为 控制 和 审计 的 风险 存在 于 资产 生命 周期 的 入 网 前 、 运 行 阶 段 、 
维修 阶段 和 废弃 阶段 ， 在 各 阶段 不 能 对 终端 发 送 邮 件 进行 控制 和 审计 ， 造 成 信息 可 能 通过 邮 
件 方式 外 泄 ， 且 不 具备 审计 记录 无 法 对 外 汇 行 为 进行 妃 查 。 其 中 入 网 前 和 报废 阶段 由 于 终端 
尚未 保存 重要 信息 或 重要 信息 按 报 废 规定 被 删除 ， 所 以 邮件 发 送 造成 的 信息 风险 较 低 ， 运 行 
阶段 终端 保存 的 重要 信息 较 多 导致 的 信息 风险 较 高 ， 维 修 阶段 终端 使 用 者 非 终端 所 有 者 终端 
储存 的 信息 通过 邮件 发 送 外 泄 的 信息 风险 最 高 。 

b) 不 能 对 打印 管理 和 审计 的 风险 存在 于 资产 生命 周期 的 入 网 前 、 运 行 阶 段 、 维 修 阶段 
和 废弃 阶段 ， 在 各 阶段 不 能 对 打印 进行 管理 ， 导 致 信息 终端 可 能 通过 打印 方式 造成 信息 扩散 
和 信息 外 泄 且 不 能 对 通过 打印 输出 造成 的 信息 外 泄 进行 退 查 。 其 中 入 网 前 和 报废 阶段 由 于 终 
端 尚 未 保存 重要 信息 或 重要 信息 按 报 废 规定 被 删除 ， 所 以 打印 造成 的 信息 风险 较 低 ， 运 行 阶 
段 终端 保存 的 重要 信息 较 多 导致 的 信息 风险 较 高 ， 维 修 阶段 ， 终 并 使 用 者 或 非 终端 使 用 者 ， 
都 有 可 能 把 终端 储存 的 信息 通过 邮件 发 送 等 方式 外 泄 ， 这 种 情况 的 信息 风险 最 局 。 

c) 未 经 过 授权 的 终端 (包括 移动 存储 设备 ) 上 存在 国家 秘密 级 或 以 上 密级 的 文件 的 安 
全 风险 存在 于 资产 生命 周期 的 各 个 阶段 ， 在 各 个 阶段 均 严 重 违反 国家 法 律 法 规 ， 属 于 泄密 
事件 。 

(b) 相关 信息 风险 

a) 不 具有 发 送 邮件 行为 控制 和 审计 的 风险 。 对 于 存储 信息 ， 不 具有 邮件 行为 控制 和 审 
计 造 成 终端 本 地 存储 信息 可 能 通过 邮件 的 方式 扩散 ， 且 无 法 对 扩散 行为 进行 退 查 。 

b) 不 能 对 打印 管理 的 风险 对 于 业务 的 影响 在 于 终端 可 能 通过 打印 造成 业务 信息 
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外 泄 。 针 对 存储 信息 ， 不 能 对 打印 进行 管理 和 审计 的 风险 ， 可 能 造成 存储 信息 通过 打印 输 
出 的 方式 外 泄 且 无 法 对 外 汇 行 为 进行 妃 查 。 对 在 线 业 务 信息 的 风险 可 以 通过 业务 系统 的 打印 
功能 进行 控制 。 

(Cc) 基于 资产 使 用 人 分 析 

a) 不 具有 发 送 邮 件 行为 控制 和 审计 的 风险 涉及 内 部 人 员 、 临 时 人 员 和 经 过 入 网 处 理 的 
外 部 人 员 ， 内 部 人 员 、 临 时 人 员 和 外 部 人 员 由 于 其 终端 上 存储 的 信息 重要 程度 不 同 ， 需 要 在 
邮件 控制 和 审计 方面 采用 不 同 的 部 署 俩 略 。 

b) 不 能 对 打印 管理 的 风险 。 打 印 输出 由 于 有 独立 的 物理 介质 (打印 纸 〉 且 易 携 带 ， 不 
容易 进行 人 工 管理 控制 ， 因 此 需要 严格 进行 打印 管理 ， 对 内 部 人 员 、 临 时 人 员 和 外 部 人 员 需 
要 采用 不 同 策略 ， 针 对 性 管理 ， 比 如 禁止 临时 人 员 、 外 部 人 员 打 印 等 。 

c) 不 限定 终端 只 能 在 指定 的 打印 机 上 打印 文件 的 风险 。 限 定 终端 打印 只 能 在 指定 打印 
机 上 打印 文件 涉及 内 部 人 员 、 临 时 人 员 和 外 部 人 员 ， 针 对 不 同人 员 采 用 不 同 策略 ， 例 如 针对 
临时 人 员 和 外 部 人 员 要 严格 集中 控制 所 使 用 的 打印 机 ， 内 部 人 员 可 在 一 定 范 围 内 选择 。 

d) 不 审计 终端 的 打印 行为 《包括 终端 属性 、 打 印 时 间 、 打 印 文件 、 份 数 、 打 印 机 等 ) 
的 风险 。 对 于 打印 行为 的 审计 涉及 内 部 人 员 、 临 时 人 员 和 外 部 人 员 ， 对 所 有 人 员 的 打印 行为 
均 需 要 进行 审计 ， 进 行 信息 外 泄 后 的 退 漳 。 

e) 终端 中 存在 国家 秘密 信息 的 风险 。 对 于 各 类 人 员 ， 使 用 的 终端 均 属 于 非 涉 密 终 疹 ， 
终端 中 存在 国家 秘密 信息 均 属 于 泄密 事件 ， 所 以 对 于 各 类 人 员 均 需要 严格 控制 。 

(d) 合 规 性 要 求 

合 规 性 要 求 见 表 C2 


表 C-2 


1 | ”| 等 级 保护 中 没有 明确 的 对 信息 传输 的 要 求 


相关 技术 和 管理 的 风险 管控 措施 参见 以 下 小 节 阐 述 。 

2. 风险 管控 

C1) 邮件 发 送 控制 (不 能 对 发 送 邮 件 行为 进行 控制 ， 不 能 对 发 送 邮 件 行为 进行 审计 ; 邮 
件 发 送行 为 的 控制 导致 某 些 内 容 未 违规 邮件 无 法 发 送 ) 

事前 处 置 : 制定 邮件 管理 制度 ， 定 义 邮 件 控制 的 关键 字 。 

事 中 处 置 : 

v 根据 邮件 管控 策略 对 邮件 进行 关键 字 检 查 。 通 过 关键 字 检 查 的 允许 邮件 发 送 

v 未 通过 关键 字 检 碍 的 邮件 被 拦截 ， 同 时 产生 告警 

w 拦截 的 邮件 产生 安全 日 志 ， 并 由 管理 员 发 送 邮件 被 拦截 的 提示 给 发 件 人 

v 成 功 发 送 的 邮件 进行 审计 记录 

v 针对 邮件 拦截 情况 告警 和 日 志 进 行 风 险 分 析 

事后 处 置 对 邮件 管理 的 结果 进行 天 联 分 析 ， 调 整 邮件 管理 策略 。 

处 置 流程 见 图 C-2。 
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邮件 发 送 管理 


终 闯 使 用 者 系统 管理 员 


J 
邮件 发 送审 计 


调整 安全 策略 关联 分 析 


图 。 C-2 


(2) 打印 管理 (不 能 对 打印 管理 ， 不 限定 终端 只 能 在 指定 的 打印 机 上 打印 文件 ; 不 审 
计 终 并 的 打印 行为 (包括 终端 属性 、 打 印 时 间 、 打 印 文 件 、 份 数 、 打 印 机 等 )) 

事前 处 置 制定 打印 管理 制度 ， 规 定 人 员 的 打印 权限 和 对 应 的 指定 打印 机 。 

事 中 处 置 : 

v 检测 用 户 是 否 上 共有 打印 权限 

v 检测 用 户 是 否 在 指定 打印 时 间 打 印 

检测 用 户 是 否 在 指定 打印 机 上 打印 

vv 上 述 检 测 未 通过 则 丢弃 打印 任务 ， 并 产生 告警 

逐 项 检测 通过 执行 打印 任务 

v 对 打印 信息 进行 审计 记录 

v 根据 打印 告警 和 审计 信息 进行 风险 分 析 

事后 处 置 : 对 打印 管理 的 结果 进行 关联 分 析 ， 调 整 打印 管理 策略 。 

处 置 流 程 匈 图 C-3。 
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打印 管理 
终 山 使 用 者 


打印 管理 制度 


制度 
打印 管控 策略 打印 管理 制度 


阻 断 打印 


印 时 间 打 印 


风险 分 析 


打印 信息 审计 


调整 安全 策略 关联 分 析 


图 C-3 
(3) 涉 密 文 件 管理 〈 终 端 上 存在 国家 秘密 级 或 以 上 密级 的 文件 的 安全 风险 ; 存在 国家 
秘密 文件 的 终端 未 按 提 示 删 除 相应 涉 密 文 件 ) 
事前 处 置 : 指定 涉 密 信息 管理 制度 ， 明 确 涉 密 信息 范围 和 界定 方式 。 
事 中 处 置 : 
v 对 终端 进行 周期 性 涉 密 信息 的 扫 面 检测 
v 检查 通过 ， 则 继续 等 待 下 一 个 周期 的 检查 
v 检查 未 通过 产生 用 户 提示 和 告警 
v 上 断 开 终端 网 络 连接 防止 涉 密 信息 进一步 扩散 
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v 对 涉 密 文件 的 使 用 记录 进行 审计 记录 
事后 处 置 ， 根 据 涉 密 信息 的 告警 情况 对 相应 人 员 进 行 行政 处 罚 ， 并 且 人 工 对 涉及 终端 
进行 检查 ， 检 查 终端 中 的 涉 密 信息 是 否 被 清除 ， 并 对 终端 的 存储 介质 进行 相应 处 理 。 
处 置 流程 见 图 C-4。 
涉 密 信息 控制 


加 终端 使 用 者 系统 管理 员 安全 管理 员 


涉 密 信息 周期 
性 扫描 


终端 存在 
涉 密 信息 


风险 分 析 


行政 处 罚 


图 C-4 

(4) 系统 不 能 发 现 和 解决 的 终端 安全 风险 和 对 策 

对 于 终 并 上 存在 高 密级 文件 的 风险 ， 如 果 融 密级 文件 没有 进行 密级 标示 ， 从 技术 手段 就 
无 法 进行 检测 ， 需 要 结合 保密 管理 制度 ， 通 过 技术 手段 为 涉 密 文 件 添 加 不 可 复 改 的 密级 标 
示 ， 作 为 涉 密 文件 的 扫描 检查 依据 。 发 现 终 端 存在 涉 密 信息 后 ， 对 用 户 进 行 提示 ， 但 是 控制 
平台 无 法 直接 对 终端 中 的 文件 进行 清楚 ， 束 需要 借助 人 工 手 段 验 证 文件 是 否 被 清除 ， 并 对 涉 
及 终端 的 存储 介质 进行 进一步 处 理 。 

3， 风险 控制 效果 

根据 对 信息 传输 的 管控 实现 了 对 人 员 的 打印 行为 进行 管理 ， 实 现 对 打印 通过 制定 打印 
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机 进行 的 控制 ， 对 邮件 进行 监控 限制 对 于 重要 信息 的 邮件 发 送 ， 对 涉 密 文 件 进行 扫描 ， 监 控 
内 网 终端 /存储 介 。 并 对 上 述 行为 均 实现 审计 记录 ， 实 现 对 重要 信息 
外 汇 和 涉 密 信息 泄密 的 追 


C.1.2 移动 存储 介质 违规 使 用 (15 个 风险 点 ) 


1. 风险 分 析 

(1) 风险 描述 

该 类 风险 主要 表现 为 ， 因 移动 存储 介质 缺少 申请 、 注 册 、 审 批 、 授 权 、 报 废 等 全 生命 周期 
的 管理 制度 、 流 程 和 技术 监控 ， 造 成 移动 存储 介 质 的 无 序 害 合理 ， 由 此 将 引发 一 系列 问题 

1) 外 部 移动 存储 进入 内 网 使 用 ， 引 发 信息 泄密 、 病 毒 感染 等 安全 风险 。 

2) 内 部 移动 存储 介质 ， 虽 然 做 到 一 定 程 度 管理 ， 但 是 无 法 从 技术 层面 对 其 使 用 人 员 、 
范围 、 动 作 、 内 容 和 时 间 等 信息 进行 监控 ， 造 成 内 部 移动 存储 介质 的 违规 使 用 ， 发 生 移动 存 
储 介质 引发 的 安全 事件 无 法 定员 。 

3) 如 果 发 现 有 违规 使 用 的 移动 存储 介质 ， 管 理 平 台 不 提示 告警 ， 并 采取 如 禁止 等 控制 措 
施 ， 那 所 谓 的 按 规 定 使 用 移动 存储 介质 的 管 失语 砚 ， 丰 能 忆 到 任 何 安全 四 遇 

移动 存储 介 ee 如 果 不 对 该 部 分 的 风险 进行 严格 管 
和 控制 ， 将 会 导致 信息 外 泄 、 病 毒 感 pb 
对 其 违规 使 用 风险 进行 详细 分 解 。 

(2) 相关 风险 点 

移动 存储 介质 违规 使 用 详 见 表 C-3。 


表 C-3 

移动 存储 介质 没有 进行 资产 登记 管理 对 移动 存储 介质 缺乏 管理 生 风险 隐患 
U 盘 没 有 进行 单独 注册 和 授权 原生 风险 隐患 
移动 存储 介质 没有 进行 安全 等 级 划分 原生 风险 隐患 
光盘 介质 使 用 没有 进行 禁止 、 限 制 范 围 的 管理 原生 风险 隐患 
多 动 存储 介质 格式 化 ， 授 权 信息 被 更 改 原生 风险 风险 
| 6 “| “移动 存储 介质 被 重新 分 区 ， 授 权 信息 被 更 改 原生 风险 风险 
| ”7 “| “移动 存储 介质 授权 信息 被 更 改 ， 没 有 报警 提示 和 禁止 原生 风险 风险 
移动 、 7 A 
存储 介 | 8 ”| ”外 部 移动 存储 ， 传 输 外 部 信息 进 内 网 的 风险 原生 风险 风险 
| 外 部 信息 使 用 内 部 移动 介 质 ， 没 有 进行 安全 检查 原生 风险 隐患 
采用 控制 措施 后 ， 外 部 移动 介质 使 用 ， 没 有 报警 、 提 示 和 禁止 残余 风险 风险 

新 增 内 网 使 用 的 移动 存储 介质 ， 管 理 流程 ， 无 法 确定 其 生命 周期 中 i 
| 的 使 用 情况 ds J 
“12 | “新 增 申请 流程 不 明确 ， 造 成 移动 介质 混用 的 潜在 风险 次 生 风险 隐患 
”13 ”| ”新 增设 备 ， 授 权 过 程 不 明确 ， 造 成 新 设备 无 法 识别 次 生 风险 风险 
缺少 记录 移动 存储 介质 的 申请 -审批 -授权 的 全 过 程 。 (包括 授权 | 。 襄 生 的 本 

人 、 授 权 使 用 范围 、 被 授权 人 以 及 授权 清除 等 记录 ) 多 

有 关 移 动 存储 介质 申请 -审批 -授权 审计 信息 ， 缺 少 安全 措施 ， 造 成 

桥 汪 算 改 和 控 除 下 
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(a) 基于 资产 使 用 生命 周期 分 析 

资产 使 用 生命 周期 包含 入 网 前 、 运 行 阶段 、 维 修 阶段 、 报 废 阶段 ， 移 动 存储 介质 风险 
对 终端 的 影响 在 资产 使 用 生命 周期 中 的 体现 如 下 ， 

风险 点 (1.3): 移动 存储 介质 属于 组 织 重要 的 存储 介质 ， 从 采购 、 使 用 、 维 修 到 报废 都 
应 该 具有 较为 完善 的 流程 管理 ， 以 确保 移动 存储 介质 的 可 控 使 用 。 因 此 ， 移 动 存储 介质 的 管 
理 风险 将 涉及 终端 使 用 生命 周期 ， 入 网 前 、 运 行 阶段 、 维 修 阶段 、 废 弃 阶段 。 在 上 述 4 个 阶 
段 中 ， 移 动 介质 的 登记 、 配 置 初始 化 〈 安 全 等 级 划分 、 授 权 等 ) 是 移动 存储 介质 实现 可 控 管 
理 的 基础 ， 因 此 在 入 网 前 阶段 如 果 没 有 进行 ， 将 会 带 来 很 大 的 风险 ， 在 运行 阶段 ， 如 果 禁 
使 用 非法 移动 介质 的 话 ， 将 不 会 带 来 更 大 的 风险 ， 如 果 没有 做 好 控制 措施 ， 将 会 带 来 移动 存 
储 介质 的 小 

风险 点 (4)， 光盘 的 使 用 发 生 在 运行 阶段 。 通 过 刻录 光盘 可 以 造成 信息 沪 密 ， 如 果 不 对 
其 进行 禁止 和 监控 ， 将 会 造成 重要 文件 的 泄密 。 如 果 全 部 禁止 也 会 造成 工作 的 不 便 ， 因 此 可 
根据 用 户 环境 ， 进 行 终端 类 型 划分 ， 确 定 禁止 的 范围 ， 不 禁止 的 也 必须 进行 监控 和 记录 ， 便 
于 日 后 追 陈 。 

风险 点 (5.7): 关于 移动 存储 介质 被 格式 化 和 分 区 ， 而 导致 的 相关 风险 ， 主 要 发 生 在 移 
动 存储 介质 运行 阶段 和 维修 阶段 。 在 使 用 阶段 ， 移 动 存储 介质 违规 进行 格式 化 和 分 区 的 ， 技 
术 上 无 提示 和 禁止 措施 ， 造 成 安全 策略 执行 不 到 位 ， 有 可 能 造成 注册 、 授 权 等 工作 重复 进 
行 ， 更 有 其 者 如 果 格式 化 分 区 后 还 能 够 正常 使 用 ， 将 会 造成 更 大 安全 风险 。 在 维修 阶段 ， 必 
要 的 格式 化 和 重新 分 区 是 不 可 避免 的 ， 为 降低 风险 ， 维 修之 前 应 进行 敏感 信息 处 理 ， 如 果 因 
故障 无 法 做 到 ， 若 存 有 重要 信息 ， 必 须 对 维修 过 程 进行 全 程 的 监控 ， 吕 免 造 成 信息 泄漏 。 做 
到 上 述 两 点 ， 在 维修 阶段 所 造成 的 安全 风险 将 会 大 大 降低 。 

风险 点 〈8-10)， 该 风险 主要 出 现在 外 部 信息 通过 移动 存储 介质 向 内 网 导入 的 过 程 中 。 
上 述 行为 发 生 在 运行 阶段 。 外 部 移动 存储 介质 为 非 注册 授权 类 介质 ， 健 康 状态 不 可 控 ， 存 储 
内 容 不 可 知 ， 如 果 私 自 接 入 内 网 ， 将 会 引起 较 大 的 安全 风险 。 规 定 内 部 能 够 直接 使 用 外 部 移 
动 存储 介质 的 区 域 ， 在 使 用 之 前 要 进行 安全 扫描 ， 确 保 符合 规定 的 安全 状态 ， 在 使 用 时 进行 
监控 和 记录 ， 在 其 他 区 域 ， 如 果 使 用 外 部 移动 存储 介质 ， 技 术 平台 必须 做 到 提示 、 报 警 和 禁 

， 否 则 将 会 给 内 网 带 来 极 大 的 安全 隐患 。 

风险 点 (11-13): 新 增 移动 存储 介质 ， 为 组 织 的 重要 存储 资产 ， 其 管理 应 符合 组 织 的 移 
动 管理 安全 策略 。 因 此 与 〈1.3) 设备 管理 内 容 一 致 ， 因 此 ， 涉 及 生命 周期 包括 入 网 阶段 、 
运行 阶段 、 维 修 阶段 、 废 弃 阶 段 。 

风险 点 (14-15): 该 风险 为 全 生命 周期 内 移动 存储 介质 管理 审计 轨迹 风险 ， 因 此 涉及 移 
动 存储 介质 的 全 生命 周期 ， 入 网 前 、 运 行 阶段 、 维 修 阶段 、 废 弃 阶段 。 在 整个 管理 过 程 中 ， 
对 各 个 环节 进行 记录 和 监控 ， 并 将 信息 进行 集中 存储 ， 便 于 日 后 的 审计 和 追查 ， 否 则 ， 无 法 
明确 各 流程 是 按 规定 进行 ， 不 能 确保 各 岗位 是 否 有 渎职 行为 。 

Cb) 与 相关 信息 安全 相关 

风险 点 (1-4): 移动 存储 介质 包括 U 盘 、 光 可 等 设备 ， 属 于 当前 最 主流 的 移动 存储 设 
备 ， 因 其 方便 、 廉 价 的 优势 受到 广泛 的 应 用 ， 几 乎 任何 从 事 与 计 算 机 操作 相关 工作 的 人 员 ， 
均 可 能 使 用 该 类 设备 ， 该 类 设备 可 以 存储 任何 形式 的 数据 信息 。 

在 线 信息 风险 ， 由 于 在 移动 存储 介质 使 用 过 程 中 ， 常 常 利用 USB 介质 参与 主机 服务 器 
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刁 份 认证 ， 信 息 移 动 存 储 设 备 同 业务 主机 服务 器 上 传 下 载 数 据 等 ， 典 型 应 用 如 货运 发 票 系统 
需 对 税 控 U 盘 进 行 读 取 和 写 入 信息 。 档 案 管理 系统 也 需要 使 用 专用 的 USBKey 等 。 因 此 必 
须根 据 业 务 系统 的 需要 ， 考 虑 在 线 下 载 和 上 传 数据 的 过 程 中 可 能 带 来 的 安全 隐患 。 

存储 信息 风险 : 对 于 U 盘 中 存储 的 信息 ， 简 而 言 之 ， 根 据 信息 管理 ， 要 有 标签 分 类 。 涉 密 
信息 不 应 该 出 现在 不 受 控制 的 U 盘 中 ， 涉 密 信息 应 该 指定 专 盘 专用 ， 设 置 指定 到 人 保管 。 任 何 
非 授 权 下 载 、 非 授权 拥有 、 非 指定 U 盘 出 现 涉 密 信息 都 是 不 应 该 的 ! 要 求 被 明令 禁 

风险 点 (5-7): 

在 线 信息 风险 : 使 用 授权 移动 存储 设备 的 终端 ， 为 重点 终端 设备 ， 使 用 这 类 终端 的 业务 
系统 应 为 重要 业务 系统 。 根 据 税务 行业 为 例 ， 其 中 税收 管理 信息 系统 、 契 税 、 耕 地 占用 税 管 
理 软件 、 货 运 发 票 系统 、 公 文 处 理 系统 、 单 位 财务 处 理 系统 为 重要 的 业务 系统 。 因 此 ， 涉 及 
上 述 业务 系统 的 终端 通过 U 盘 在 使 用 过 程 中 要 避免 U 盘 被 格式 化 、 不 受 控 制 地 下 载 信息 导 
致 不 能 审计 、 无 法 追溯 的 风险 。 

存储 信息 风险 : 如 果盘 需要 重新 分 配 ， 在 格式 化 和 重新 分 区 时 要 彻底 ，U 盘 信息 要 保 
证 不 能 被 恢复 ， 授 权 信 息 变 更 后 要 履行 变更 流程 和 重新 入 网 登记 。 

风险 点 (8-10): 

在 线 信 息 风 险 : 根据 税务 行业 为 例 ， 信 息 传输 路 径 分 析 ， 涉 及 外 来 数据 信和 导入 的 系统 主 
要 包括 : 税收 管理 信息 系统 、 契 税 、 耕 地 占用 税 管 理 软 件 、 货 运 发 票 系统 。 该 类 风险 主要 是 
U 盘 在 导入 导出 信息 过 程 中 可 能 携带 病毒 、 木 马 程序 ， 可 能 将 外 部 风险 导入 到 内 网 中 ， 造 成 
业务 主机 感染 病毒 、 木 马 ， 占 用 带宽 等 。 男 外 接 入 内 网 的 U 盘 同 样 存在 利用 该 U 盘 上 传 下 
载 非 授 权 的 涉 密 信息 ， 比 如 下 载 个 人 税收 信息 、 个 人 资料 、 企 业 秘 密 资料 等 。 因 此 应 采用 严 
格 的 管理 措施 ， 例 如 禁止 端口 滥用 ， 非 指定 U 盘 不 能 入 网 等 ， 还 可 采用 技术 工具 封闭 端口 的 
控制 措施 ， 达 到 预防 该 风险 的 目的 。 

存储 信息 风险 : 如 果 存 储 在 移动 存储 介质 中 的 信息 涉 密 ， 保 管 人 对 信息 要 负责 ， 严 格 按 
照 涉 密 信息 管理 办 法 ， 不 能 随意 将 涉 密 信 息 复 制 到 普通 U 盘 ， 更 不 能 将 涉 密 信息 复制 到 终 
端 ， 和 随意 传播 ! 对 该 信息 要 加 密 保存 。 

风险 点 〈11-15 ): 

在 线 信 息 风 险 和 存储 信息 风险 同样 适用 于 新 增 移动 存储 介质 ， 和 风险 点 〈1) 移动 存储 
介质 风险 保持 一 致 ， 涉 及 业务 系统 信息 风险 也 相同 。14 和 15 风险 点 主要 针对 移动 存储 介质 
管理 的 审计 轨迹 问题 ， 是 对 资产 使 用 信息 审计 追踪 ， 主 要 涉及 审计 信息 的 存储 风险 ， 与 移动 
存储 介质 的 风险 不 相关 。 

《c) 基于 资产 使 用 人 分 析 

风险 点 (1-4): 任何 岗位 角色 都 涉及 移动 存储 介质 的 使 用 问题 ， 因 此 ， 该 风险 与 内 部 人 
员 相 关 : 高 级 管理 岗位 ， 如 区 域 负责 人 等 高 层 领导 ; 地 市 部 门 主管 、 网 络 管理 员 、 配 置 管理 
员 、 系 统管 理 员 、 财 务 部 人 员 等 关键 岗位 业务 人 员 ; 开发 人 员 、 研 发 人 员 等 ， 考 虑 根据 业务 
和 工作 需要 授权 开通 端口 和 移动 存储 介质 使 用 权限 。 

临时 人 员 : 辅助 人 员 岗 位 ， 如 食堂 、 车 队 、 绿 化 等 人 员 ， 该 类 人 员 在 使 用 UU 盘 过 程 
中 ， 可 能 会 复制 非 涉 及 其 岗位 和 授权 文件 的 风险 。 

外 来 人 员 : 外 来 厂家 人 员 、 外 来 维护 人 员 不 允许 使 用 自 带 U 盘 ， 需 要 移动 存储 数据 的 
必须 有 内 部 人 员 陪 同 ， 使 用 业务 专用 移动 存储 介质 。 同 系统 人 员 使 用 需 使 用 系统 内 指定 U 
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盘 ， 且 必须 经 过 登记 检查 ， 方 可 在 服务 器 区 域 或 者 接 入 到 业务 中 使 用 。 

风险 点 (5-7): 

该 风险 涉及 内 部 人 员 ， 使 用 授权 终端 的 工作 人 员 ， 具 有 两 种 特征 : 

a) 具有 一 定 行政 职位 ， 了 解 组 织 的 重要 信息 。 

b) 具有 业务 职能 ， 掌 握 和 使 用 组 织 重要 业务 系统 。 

具备 上 述 特点 之 一 的 工作 人 员 均 与 该 风险 相关 ， 包 括 高 级 管理 岗位 、 地 市 部 门 主管 、 网 
络 管理 员 、 配 置 管理 员 、 系 统管 理 员 、 财 务 部 人 员 等 关键 岗位 业务 人 员 等 。 

严禁 该 类 人 员 私 自 格 式 化 移动 存储 设备 。U 盘 和 人 员 挂 钩 ， 专 盘 专 用 ， 不 得 私自 转借 。 
U 盘 归 还 入 库 重 新 分 配 要 履行 正常 手续 。 

风险 点 (8-10): 

该 风险 涉及 内 部 人 员 ， 必 须 严 格 要 求 ， 外 部 信息 在 通过 移动 存储 介质 接 入 到 内 网 终端 的 
时 候 ，U 盘 必须 经 过 安全 检测 。 

风险 点 (11-13): 与 (1-4) 移动 存储 介质 相同 

风险 点 (14-15); 根据 资产 管理 的 相关 规定 ， 资 产 的 采购 、 使 用 和 报废 ， 会 涉及 管理 
层 、 工 作 人 员 、 资 产 管理 员 角 色 等 ， 因 移动 存储 介质 使 用 的 广泛 性 ， 涉 及 的 人 员 角 色 也 非常 
广泛 。 必 须根 据 工 作 需 要 、 权 限 等 分 配 领 用 ， 并 要 求 执行 有 关 移 动 存 储 介 质 使 用 规定 。 

Cd) 合 规 性 要 求 

合 规 性 要 求 见 表 C-4。 


表 C-4 


本 


7.2.5.3 介质 管理 (G3) : 

a) 应 建立 介质 安全 管理 制度 ， 对 介质 的 存放 环境 、 使 用 、 维 护 和 销 
毁 等 方面 作出 规定 

b) 应 确保 介质 存放 在 安全 的 环境 中 ， 对 各 类 介质 进行 控制 和 保护 ， 
并 实行 存储 环境 专人 管理 

c) 应 对 介质 在 物理 传输 过 程 中 的 人 员 和 8 选择、 打包 、 交 付 等 情况 进行 
控制 ， 对 介质 归档 和 查询 等 进行 登记 记录 ， 并 根据 存档 介质 的 目录 清 


a 单 定期 盘点 

1 系统 运 维 管理 | ”dj) 应 对 存储 介质 的 使 用 过 程 、 送 出 维修 以 及 销毁 等 进行 严格 的 管 
理 ， 对 带 出 工作 环境 的 存储 介质 进行 内 容 加 密 和 监控 管理 ， 对 送出 维 
修 或 销毁 的 介质 应 首先 清除 介质 中 的 敏感 数据 ， 对 保密 性 较 高 的 存储 
介质 未 经 批准 不 得 自行 销毁 

e) 应 根据 数据 备份 的 需要 对 某 些 介质 实行 异地 存储 ， 存 储 地 的 环境 

要 求 和 管理 方法 应 与 本 地 相同 

f) 应 对 重要 介质 中 的 数据 和 软件 采取 加 密 存储 ， 并 根据 所 承载 数据 

和 软件 的 重要 程度 对 介质 进行 分 类 和 标识 管理 


2. 风险 管控 

每 类 风险 在 管控 过 程 中 ， 针 对 风险 的 事前 、 事 中 和 事后 3 种 状态 进行 监控 ， 做 到 事前 
预防 、 事 中 控制 、 事 后 审计 追查 。 下 面 的 风险 管控 处 理 流程 ， 尽 量 从 事前 、 事 中 和 事后 3 方 
面 对 风 险 进 行 管控 。 

(1) 风险 点 〈1-4) 移动 存储 介质 管理 控制 流程 

事前 处 置 : 根据 组 织 的 资产 管理 策略 ， 制 定 相 应 的 管理 制度 、 流 程 、 表 单 等 相关 文档 ， 
明确 职责 和 分 工 ， 确 定岗 位 责任 。 移 动 存储 介质 的 申请 、 使 用 和 报废 将 根据 制定 的 流程 进行 
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处 理 ， 并 填写 相应 的 表单 以 便 责任 妃 查 。 使 用 专门 的 工具 标签 化 管理 移动 存储 介质 ， 区 分 不 
同 的 工作 用 途 和 使 用 者 ， 限 定 不 同 标签 的 移动 存储 介质 的 使 用 范围 ， 并 且 跟 踪 使 用 记录 。 
事 中 处 置 : 参考 相应 文档 指南 ， 进 行 申 请 审批 ， 不 符合 规定 的 审批 将 不 予 通过 ， 并 对 
处 置 事件 进行 记录 ， 形 成 表单 。 
事后 处 置 : 根据 资产 管理 规定 进行 资产 管理 介质 管理 的 检查 和 抽查 ， 或 根据 移动 介质 
使 用 事实 ， 对 审批 过 程 进行 退 济 。 


移动 存储 介质 管理 流程 


| 终端 使 用 者 
策略 
资产 管理 制度 


编写 资产 管理 相关 
制度 、 流 程 资产 管理 流程 


资产 管理 表单 


制度 、 流 程 


\W/ We 


相关 操作 表单 


相关 环节 审批 /交接 


资产 管理 检查 /追查 相关 操作 表单 


图 C-5 
(2) 风险 点 (5-7) 格式 化 和 重新 分 区 时 ， 授 权 信息 被 更 改 的 风险 
事前 处 置 : 可 通过 两 种 方式 进行 事前 预防 。 
1) 采购 具有 硬件 保护 的 外 设 设备 ， 授 权 信 息 保 存在 固定 分 区 ， 该 分 区 不 能 进行 软件 格 
Ts 
2) 通过 注册 设备 对 移动 存储 设备 进行 注册 ， 并 通过 控制 平台 进行 策略 设置 ， 不 具有 授 
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权 信息 的 设备 无 法 在 系统 内 使 用 。 

事 中 处 置 ， 

1) 具有 硬件 保护 的 移动 存储 设备 ， 将 无 法 进行 格式 化 。 

2) 通过 注册 方式 的 移动 设备 格式 化 后 将 无 法 在 系统 内 使 用 。 

同时 ， 这 两 种 格式 化 的 企图 和 动作 将 记录 在 日 志 中 ， 作 为 审计 依据 。 

事后 处 置 ， 根 据 监控 平台 的 报警 提示 信息 ， 对 非 授 权 的 企图 进行 事件 追查 ， 其 主要 依 
据 为 系统 日 志 信息 。 


格式 化 /重新 分 区 时 的 风险 管理 


资产 管理 制度 
区 如 上 


资产 管理 表单 


(3) 风险 点 〈8-10) 外 部 信息 通过 移动 存储 传输 进 内 网 的 风险 

事前 处 置 : 根据 组 织 的 资产 管理 策略 ， 制 定 相应 的 管理 制度 、 流 程 对 外 部 信息 系统 通过 
移动 设备 输入 进行 详细 规定 ， 并 给 出 操作 指南 。 对 于 未 经 授权 的 终端 ， 禁 止 接 入 不 知 来 源 的 
移动 存储 介质 。 
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事 中 处 置 : 对 外 部 信息 复制 严格 遵守 申请 流程 ， 对 符合 规定 的 在 单机 上 进行 安全 扫描 ; 
入 网 时 进行 授权 认证 ， 并 进行 日 志 记 录 。 如 有 工作 和 需要， 可 以 向 部 门 主管 和 安全 管理 人 员 申 
请 ， 获 得 批准 之 后 ， 才 能 使 用 。 

事后 处 置 : 根据 监控 平台 的 报警 提示 信息 ， 对 非 授 权 的 企图 进行 事件 退 查 ， 其 主要 依据 
为 系统 日 志 信 息 。 

管控 流程 见 图 C-7。 


外 部 移动 存储 介质 传输 数据 


《信息 资产 管理 办 法 》 
《介质 管理 制度 》 


《设备 管理 制度 》 


外 部 移动 
介质 接 入 


报警 /提示 


IE 


] 
I 
I 
I 
| 
| 
1 


日 志 衬 存 储 


事件 处 理 / 审 
计 记 录 
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(4) 风险 点 (11-13) 与 风险 点 〈1-4) 相同 

同 (1) 管控 流程 。 

风险 点 (14-15): 记录 移动 存储 介质 的 申请 -审批 -授权 的 全 过 程 

事前 处 置 : 根据 组 织 的 资产 管理 策略 ， 制 定 相 应 的 管理 制度 、 流 程 对 存储 介质 申请 进 
行 详细 规定 ， 并 给 出 操作 指南 。 

事 中 处 置 : 事 中 根据 制度 、 流 程 所 制定 的 岗位 职责 进行 审批 ， 通 过 签名 和 数字 签名 确 
定岗 位 职责 ， 并 形成 设备 申请 流程 单 。 

事后 处 置 : 根据 设备 申请 流程 单 ， 对 使 用 的 设备 进行 审批 检查 和 追溯 。 

3. 风险 控制 效果 

实现 移动 存储 介质 的 规范 使 用 ， 注 册 移 动 存储 介质 只 能 在 内 网 终端 上 使 用 ， 内 网 终端 
无 法 使 用 非 注 册 移 动 存 储 介 质 ， 对 注册 移动 存储 介质 可 以 设置 口令 访问 ， 有 数据 交换 需求 的 
终端 可 以 使 用 注册 和 非 注 册 两 种 移动 存储 介质 ， 但 是 对 非 注册 的 移动 存储 介质 按照 严格 的 读 
写 权 限 控制 使 用 。 

对 于 移动 存储 介质 所 作 的 安全 防护 措施 ， 仍 不 能 避免 违规 使 用 ， 例 如 : 

1) 如 果 信 息 自 身 没 有 分 级 ， 则 终端 无 法 发 现 审核 信息 级 别 。 

2) 私自 将 终端 存储 设备 带 出 ， 系 统 无 法 发 现 该 违规 行为 。 可 以 对 重要 信息 加 密 ， 即 使 
带 出 也 可 以 保护 重要 文件 无 法 打开 。 

残余 风险 处 置 措 施 如 下 : 

1) 需要 对 行业 内 信息 分 等 级 标识 。 

2) 加 强制 度 和 意识 培训 。 

3) 移动 存储 介质 分 发 需要 根据 业务 需要 和 权限 领 用 ， 需 要 人 为 参与 判断 。 

移动 存储 介质 的 使 用 问题 ， 除 从 技术 角度 进行 监控 外 ， 更 多 的 是 管理 问题 ， 管 理 与 组 
织 的 行政 、 资 产 管理 等 相关 ， 因 此 ， 在 技术 实现 上 很 难 给 出 统一 的 实现 ， 需 要 根据 特定 的 管 
理 环 境 和 流程 进行 定制 开发 。 


C.1.3 “信息 文档 保护 (5 个 风险 点 ) 


1. 风险 分 析 

(1) 风险 描述 

言 上 息 文档 保护 的 相关 风险 表现 为 两 类 : 

1) 重要 信息 的 存储 风险 。 

2) 重要 信息 的 传输 风险 。 

重要 信息 的 存储 风险 主要 表现 为 如 果 没 有 对 使 用 的 终端 进行 安全 等 级 分 类 ， 重 要 文件 存 
储 在 安全 防护 措施 较 低 的 终端 上 ， 将 面 信息 泄漏 的 风险 ， 对 存储 重要 信息 的 终端 没有 制定 相 
应 的 配置 标准 ， 造 成 安全 防护 等 级 不 统一 ， 同 样 也 会 使 信息 面临 泄漏 的 风险 。 

重要 信息 的 传输 风险 主要 表现 为 信息 存在 两 种 形态 存储 和 传输 ， 传 输 有 多 种 形式 ， 比 
如 从 外 网 传输 到 内 网 ， 信 息 转 换 也 可 以 看 作 传输 的 一 种 形态 ， 在 传输 和 使 用 过 程 中 ， 如 果 没 
有 适当 的 安全 防护 措施 也 将 导致 信息 的 外 汇 。 

(2) 相关 风险 点 

言 息 文 档 保 护 风 险 点 详 见 表 C-5。 
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隐患 /风险 
隐患 
隐患 
信息 文档 风险 
要 文件 的 读 、 写 、 修 改 、 传 输 等 过 程 中 出 现 信息 泄 沁 原生 风 风 
来 的 重要 文件 进入 内 网 ， 使 其 满足 本 地 使 用 要 求 ， 过 程 中 导致 售 | 4 ja 
息 泄漏 的 风险 


(a) 基于 资产 使 用 生命 周期 

a) 文档 加 密 : 终端 在 入 网 前 不 存储 任何 与 业务 有 关 的 文档 ， 在 报废 阶段 也 会 进行 存储 
设备 的 报废 处 理 ， 因 此 与 该 风险 相关 的 生命 周期 为 运行 阶段 、 维 修 阶段 。 

b) 存 有 重要 文件 的 终端 进行 模式 化 的 管理 : 终端 在 入 网 前 是 不 存储 任何 与 业务 有 关 的 
文档 ， 在 报废 阶段 也 会 进行 存储 设备 的 报废 处 理 ， 因 此 与 该 风险 相关 的 生命 周期 为 运行 阶 
段 、 维 修 阶段 。 

c) 只 允许 在 指定 终端 上 存放 重要 文件 ， 防 止 文 件 泄漏 : 该 风险 主要 为 管理 控制 类 风 
险 ， 涉 及 对 指定 终端 的 控制 和 文件 的 控制 ， 主 要 存在 于 运行 阶段 ， 并 涉及 部 分 维修 阶段 ， 在 
重要 设备 转 入 到 维护 阶段 时 ， 必 须 进行 事前 的 安全 人 处理。 所 以 ， 涉 及 的 生命 周期 为 运行 阶 
段 、 维 修 阶段 。 

d) 重要 文件 的 读 、 写 、 修 改 、 传 输 等 过 程 中 的 信息 泄漏 风险 : 该 风险 主要 存在 于 业务 
系统 运行 阶段 ， 因 此 ， 针 对 于 设备 来 讲 与 该 风险 相关 的 生命 周期 为 运行 阶段 。 

e) 外 来 重要 文件 控制 ， 使 其 满足 本 地 使 用 要 求 ， 并 防止 信息 泄漏 :外 来 文件 作为 业务 
言 息 系统 进行 业务 处 理 的 一 个 重要 信息 来 源 ， 该 过 程 仅 发 生 在 系统 运行 阶段 ， 相 对 处 理 的 终 
端 设备 也 仅 处 于 系统 运行 阶段 。 因 此 ， 与 之 相关 的 生命 周期 为 运行 阶段 。 

(b) 与 信息 安全 相关 

a) 文档 加 密 : 在 线 信息 风险 : 在 处 理 重 要 业务 信息 相关 的 文档 时 ， 会 在 终端 进行 解 
密 ， 然 后 再 进行 处 理 ， 面 临 重 要 的 文档 信息 在 终端 节点 的 明文 泄漏 的 风险 ;存储 信息 风险 : 
在 终端 内 存储 的 敏感 信息 ， 因 终端 所 处 环境 以 及 其 灵活 流动 的 特性 ， 信 息 非 法 复制 、 信 息 非 
授权 复原 以 及 信息 暴力 破解 等 风险 为 信息 的 主要 风险 。 

b) 存 有 重要 文件 的 终端 进行 模式 化 的 管理 : 在 线 信息 风险 : 在 终端 不 进行 模式 化 安全 防 
护 ， 造 成 重要 业务 在 线 处 理 信息 没有 统一 的 安全 防护 标准 ， 造 成 各 安全 终端 防护 水 平 不 均衡 ， 
容易 造成 安全 防护 弱点 ， 面 临终 端 攻 击 风 险 ， 存 储 信息 风险 :终端 不 进行 模式 化 安全 防护 ， 使 
得 终端 存储 信息 环境 复杂 ， 管 理 困难 ， 容 易 造 成 防护 短 板 ， 无 法 在 整体 终端 系统 进行 敏感 信 
奶 的 保护 。 

c) 只 能 允许 在 指定 终端 上 存放 重要 文件 ， 防 止 文件 泄漏 : 在 线 信息 风险 : 在线 敏 感 信 
奶 处 理 终端 缺乏 条 件 约束 ， 造 成 敏感 信息 小 用 ， 信 息 外 泄 风险 加 大 ; 存储 信息 风险 : 存储 敏 
感 信息 终端 缺乏 条 件 约束 ， 造 成 敏感 信息 滥用 ， 信 息 外 泄 风险 加 大 。 

d) 重要 文件 的 读 、 写 、 修 改 、 传 输 等 过 程 中 的 信息 泄漏 风险 : 在 线 信息 风险 : 在 线 信 
恩 的 读 、 写 、 修 改 等 操作 均 在 明文 的 基础 上 进行 ， 容 易 造 成 信息 的 泄漏 ， 传 输 过 程 不 进行 加 
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密 传输 容易 造成 信息 被 窃取 、 和 个 改 等 风险 ， 存 储 信息 风险 ;存储 的 重要 文件 的 读 、 写 、 修 改 
均 在 明文 的 基础 上 ， 通 过 终端 监控 软件 及 木马 程序 容易 造成 信息 的 泄漏 。 

。) 外 来 重要 文件 控制 ， 使 其 满足 本 地 使 用 要 求 ， 并 防止 信息 泄漏 :在 线 信息 风险 ， 外 
来 文件 进入 内 网 业务 系统 ， 不 经 过 安全 处 理 容易 造成 信息 安全 的 破坏 ， 如 病毒 带 入 、 不 符合 
加 密 规定 ， 造 成 敏感 信息 的 泄 泼 和 算 改 ， 存 储 信息 风险 ， 外 来 文件 进入 内 网 业务 系统 ， 不 经 
过 安全 处 理 容易 造成 信息 安全 的 破坏 ， 如 病毒 带 入 、 不 符合 加 密 规定 ， 造 成 敏感 信息 的 泄漏 
和 算 改 。 

Cc) 基于 资产 使 用 人 员 

内 部 人 员 ， 当 高 级 管理 岗位 〈 如 高 层 领导 ) 的 终端 资产 存在 以 上 风险 ， 由 于 其 终端 全 
企业 核心 信息 和 涉 密 信息 ， 风 险 级 别 高 ， 当 部 门 主管 、 网 络 管理 员 、 配 置 管理 员 、 系 统管 理 
员 、 财 务 部 人 员 等 关键 岗位 业务 人 员 的 终端 存在 以 上 风险 ， 由 于 该 类 终端 对 业务 支撑 非常 关 
键 ， 且 一 般 和 包含 关键 业务 信息 ， 风 险 级 别 较 高 ， 当 生产 人 员 、 办 公 人 员 等 终端 存在 该 风 
险 ， 尽 管 该 类 终端 支持 业务 和 对 正常 运营 起 保障 作用 ， 但 因 不 涉及 重要 信息 和 关键 业务 ， 
风险 为 中 。 

临时 人 员 ， 如 果 该 类 风险 发 生 在 辅助 人 员 岗 位 (如 食堂 、 车 队 、 绿 化 等 人 员 )， 则 该 类 
终端 一 般 不 涉及 业务 、 不 包含 敏感 信息 ， 风 险 为 低 ， 

外 来 人 员 : 因 外 来 人 员 不 涉及 组 织 内 部 信息 和 业务 系统 。 此 类 人 员 终 端 发 生 该 风险 时 ， 
对 于 组 织 的 影响 很 小 ， 风 险 为 低 。 

cd) 合 规 性 要 求 

合 规 性 要 求 见 表 C-6。 


表 C-6 


7.1.5.1 数据 完整 性 〈S3 ) 
a) 应 能 够 检测 到 系统 管理 数据 、 鉴 别 信息 和 重要 业务 数据 在 传输 
过 程 中 完整 性 受到 破坏 ， 并 在 检测 到 完整 性 错误 时 采取 必要 的 恢复 


| 昔 施 符合 
b) 应 能 够 检测 到 系统 管理 数据 、 鉴 别 信息 和 重要 业务 数据 在 存储 
过 程 中 完整 性 受到 破坏 ， 并 在 检测 到 完整 性 错误 时 采取 必要 的 恢复 
音 施 


2. 风险 管控 

(1) 文档 加 密 

事前 处 置 : 根据 组 织 的 安全 管理 策略 ， 制 定 信 息 安 全 分 级 分 类 标准 ， 确 定 加 密 文 档 标 
准 ， 制 定 文 档 加 密 配 置 指南 ， 规 定 加 密级 别 、 加 密 算 法 ， 密 钥 管 理 规定 等 相关 制度 、 流 程 和 
指南 。 

事 中 处 置 : 针对 符合 政策 标准 的 文档 ， 进 行 加 密 处 置 ， 受 善 保管 密 钥 ， 并 对 文件 处 置 过 
程 进行 日 志 、 轨 迹 记 录 。 

事后 处 置 : 根据 处 置 日 志和 轨迹 记录 ， 对 违规 事件 进行 追查 。 

管控 流程 见 图 C-8。 
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文 挡 没 有 加 密 存 储 风 险 


终端 使 用 者 安全 管理 
文档 检查 


结束 \)- 全 < 一 克 密 存储 ? 


结束 


人 工 处 理 流程 
1 
1 


东 

| 

| + 
| 


安全 事件 审计 涉 密 事 件 报告 单 


图 C-8 


(2) 存 有 重要 文件 的 终端 进行 模式 化 的 管理 

事前 处 置 : 根据 组 织 的 安全 管理 策略 ， 制 定 存 有 重要 文件 终端 的 安全 防护 标准 ， 

确定 技术 控制 措施 、 安 全 管理 措施 等 内 容 。 

事 中 处 置 : 根据 控制 模型 进行 控制 措施 的 实施 ， 并 对 重要 环节 进行 监控 和 记录 ， 形 成 
日 志 信息 ， 以 考证 控制 模式 实现 的 符合 度 ， 确 定 各 种 控制 措施 的 有 效 实施 。 

事后 处 置 : 根据 处 置 日 志和 轨迹 记录 ， 对 控制 模型 的 有 效 性 进行 考察 ， 并 根据 评价 结 
果 进 行 控制 模式 调整 。 
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管控 流程 见 图 C-9。 


终端 模式 化 管理 


终 凯 使 用 者 


终端 管理 配置 标准 
信息 安全 资产 管 
理 办 法 


安全 管理 平台 上 


涉 密 事件 
处 理 记录 


图 C-9 


(3) 只 有 允许 在 指定 终端 上 放 重 要 文件 ， 防 止 文件 泄漏 

事前 处 置 : 根据 组 织 的 安全 管理 策略 ， 制 订 存 放 重 要 文件 的 终端 标准 ， 可 参考 (2) 中 
终端 控制 模式 中 的 安全 防护 标准 。 

事 中 处 置 : 对 于 重要 文档 的 授权 、 监 控 和 审计 记录 ， 在 技术 和 管理 双 层 进行 控制 ， 并 
根据 重要 文件 存储 记录 单 等 相关 记录 信息 ， 对 所 辖 范 围 内 定期 实施 扩 术 扫描 ， 防 范 重 要 文件 
的 非 正 名 存储 。 
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事后 处 置 根据 处 置 日 志和 轨迹 记录 ， 对 重要 文件 的 存储 和 访问 进行 审计 和 事件 退 踩 。 

控制 流程 图 参见 风险 点 2 控制 流程 图 。 

(4) 重要 文件 的 读 、 写 、 修 改 、 传 输 等 过 程 中 的 信息 泄漏 风险 

事前 处 置 : 根据 组 织 的 安全 策略 ， 制 定 文件 分 级 分 类 标准 ， 制 定 重 要 文件 访问 、 处 理 
安全 标准 和 指南 ， 确 定 文件 访问 授 人 策略 ， 根 据 授 权 人 策略 进行 访问 授权 。 

事 中 处 置 : 根据 数据 所 有 者 或 管理 层 批准 的 授权 进行 访问 授权 ， 如 采 文 件 传输 ， 建 议 采用 
数据 加 密 方 式 ， 为 防止 非 授权 的 更 改 ， 需 通过 数字 摘要 签名 的 方式 ， 确 保 传输 文件 的 完整 性 。 
事后 处 置 : 通过 审批 记录 、 日 志 记 录 、 授 权 审 批 记录 进行 合 规 性 审计 和 事后 退 查 。 

管控 流程 见 图 C-10。 


重要 文件 读 、 写 和 传输 控制 过 程 


终 山 使 用 者 
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图 C-=-10 
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(5) 外 来 重要 文件 控制 ， 使 其 满足 本 地 使 用 要 求 ， 并 防止 信息 泄漏 

事前 处 置 : 根据 组 织 的 安全 全 上 略 ， 制 订 文 件 分 级 分 类 标准 ， 制 订 外 来 重要 文件 访问 、 处 
理 安全 标准 和 指南 ， 制 订 文 件 访问 授权 单 ， 根 据 授权 单 进行 访问 授权 。 

事 中 处 置 : 根据 相关 规定 ， 由 指定 人 员 ， 指 定 方式 进行 外 来 重要 文件 接收 和 处 置 。 外 来 重 
要 文件 以 加 密 方式 进行 传输 ， 根 据 正 确 密 钥 进行 解 客 ， 确 认 数字 签名 ， 对 比 数字 摘要 ， 确 保 数 
据 的 机 密 性 、 完 整 性 、 可 用 性 和 抗 抵 赖 性 。 接 下 来 对 文件 进行 安全 扫描 ， 排 除 安 全 隐患 ， 根 据 
重要 文件 存储 规定 进行 文件 入 库 。 整 个 文件 处 理 过 程 ， 需 在 重要 节点 进行 审批 和 日 志 记录 。 

事后 处 置 : 通过 处 理 流 程 记录 、 日 志 记 录 进 行 审计 和 事件 追查 。 

管控 流程 见 图 C-11。 


外 来 重要 文件 控制 


事前 阶段 


是 否 为 指 
定 区 域 ? 


是 否 符合 要 求 ? 


图 C-11 
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3. 风险 控制 效果 

实现 对 于 重要 文件 的 存储 和 传输 进行 加 密 ， 保 证 重要 信息 即使 被 非法 获取 也 不 能 被 解 
密 读 取 ， 保 证 信息 的 保密 性 。 

残余 风险 包括 : 如 果 信 息 上 自身 没有 分 级 ， 则 终端 无 法 发 现 审核 信息 级 别 ， 需 要 对 行业 内 
信息 分 等 级 标识 。 敏 感 信息 接触 者 通过 非 技术 类 手段 的 泄漏 ， 如 拍照 、 摘 抄 、 电 话 泄漏 等 ， 
通过 技术 手段 都 无 法 做 到 监控 。 

处 置 对 策 

1) 长 期 的 安全 意识 培训 。 

2) 适当 的 人 员 监 督 机 制 。 

3) 严 历 的 惩罚 措施 。 

4) 保留 事件 调查 、 起 诉 的 权利 。 


C. 1. 4 信息 共 吾 ( 3 个 风险 点 ) 


1. 风险 分 析 

(1) 风险 描述 

0 t 享 的 安全 性 较 弱 ， 不 能 有 效 地 对 信息 共享 实现 监控 ， 造 成 信 
娠 通过 共享 扩散 风险 。 不 能 监控 网 络 中 的 所 有 共享 目录 的 情况 ， 造 成 系统 内 共享 行为 不 可 
ee 造成 通过 共享 可 能 发 生 的 数据 扩散 
情况 不 能 有 效 监 控 。 不 能 在 发 现 网 络 中 的 共享 目录 后 ， 关 闭 指定 的 共享 ， 造 成 信息 泛 渴 的 
风险 。 

(2) 相关 风险 点 

信息 共享 风险 点 见 表 C-7。 


表 C-7 


(a) 基于 资产 使 用 生命 周期 

ee Die 言 恩 共享 风险 主要 涉及 资产 的 运行 阶 
段 ， 在 运行 阶段 终端 存在 大 量 重要 信息 ， 系 统 共 享 的 安全 性 较 弱 ， 没 有 有 效 共 享 控 制 ， 信 息 
通过 共享 方式 扩 散 ， 风险 较 大 。 

(b) 与 信息 安全 相关 

在 线 信息 风险 : 信息 共享 容 

存储 信息 风险 : 信息 共享 容 

(c) 基于 资产 使 用 人 员 : 

因 该 类 风险 相关 的 业务 系统 一 致 ， 推 导出 涉及 的 工作 人 员 疯 位 和 角色 将 会 一 致 ， 涉 及 
的 工作 人 员 包 括 : 


造成 信息 滥用 ， 从 而 导致 敏感 信息 外 港 。 


易 
易 造 成 信息 滥用 ， 从 而 导致 敏感 信息 外 洪 。 
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a) 高 级 管理 岗位 ， 如 区 域 负责 人 等 高 层 领导 ， 

b) 地 市 部 门 主管 、 网 络 管理 员 、 配 置 管理 员 、 系 统管 理 员 、 财 务 部 人 员 等 关键 岗位 业 
务 人 员 ， 

c) 维护 厂商 、 临 时 工作 人 员 等 。 

上 述 相关 人 员 根 据 级 别 和 岗位 职责 ， 相 关 的 安全 风险 级 别 不 同 。 

Cd) 合 规 性 要 求 

合 规 性 要 求 见 表 C-8， 


表 C-8 
序号 符合 程度 
7.2.5.9 密码 管理 (G3) 
1 时 应 建立 密码 使 用 管理 制度 ， 使 用 符合 国家 密码 管理 符合 
技术 和 产品 
se 7.2.5.7 系统 安全 管理 (G3) 
2 系统 运 维 管理 全 冒 理 《G31 和 符合 
系统 运 维 旧 a) 应 根据 业务 需求 和 系统 安全 分 析 确定 系统 的 访问 控制 但 


2， 风险 管控 

上 述 3 个 风险 ， 分 别针 对 共享 的 整体 风险 进行 了 细 化 ， 因 此 ， 风 险 管 控 上 存在 极 大 的 
相关 性 ， 因 此 在 这 里 建议 采用 统一 管控 措施 ， 上 县 体 流程 如 下 所 示 : 

关于 共享 风险 管控 措施 描述 如 下 所 示 : 

事前 处 置 : 制定 相关 管理 制度 ， 规 定 是 否 允 许 共享 ， 人 允许 共享 的 内 容 等 。 

事 中 处 置 : 

1) 通过 对 共享 的 扫描 发 现 共享 ， 设 置 共 享 策 略 ， 人 允许 或 禁用 共享 。 

2) 对 共享 目录 的 文件 操作 进行 审计 记录 。 

3) 可 以 通过 管理 员 手 工 关闭 共享 。 

4) 可 以 禁用 系统 共享 功能 。 

事后 处 置 : 对 于 该 类 风险 ， 主 要 保存 扫描 结果 日 志 ， 在 发 生 信息 扩散 事件 之 后 ， 可 以 
通过 对 日 志 的 分 析 时 奶 查 贡 任 人 。 

控制 流程 见 图 C-12。 

3， 风险 控制 效果 

有 效 监 控 共 享 行为 ， 可 以 对 共享 的 文件 进行 详细 审计 ， 并 可 实现 管理 员 关 闭 指定 共享 
和 禁用 系统 共享 功能 ， 避 免 因 共享 造成 的 信息 小 

如 果 信 息 自 身 没 有 分 级 ， 则 终端 无 法 发 现 审核 信息 级 别 ， 需 要 对 行业 内 信息 分 等 级 标 
识 。 敏 感 信息 接触 者 通过 非 技 术 类 手段 的 泄漏 ， 如 拍照 、 摘 抄 、 电 话 泄漏 等 ， 通 过 技术 手段 
都 无 法 做 到 监控 。 可 通过 管理 手段 进行 管理 和 控制 ， 处 置 对 策 如 下 所 示 : 

1) 长 期 的 安全 意识 培训 。 

2) 适当 的 人 员 监 督 机 制 。 

3) 严厉 的 惩 昼 措施 。 

4) 保留 事件 调查 、 起 诉 的 权利 。 
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图 C-12 
C.1.5 信息 的 非 技术 性 浊 漏 《7 个 风 丛 品 ) 


1， 风 险 分 析 

(1) 风险 描述 

该 类 风险 主要 表现 为 社会 工程 类 信息 泄密 ， 技 术 控 制 措施 再 严格 ， 也 不 能 抵御 通过 社 
会 工程 类 的 攻击 ， 比 如 丛 看 、 心 理 推 测 、 搭 线 鳃 听 等 等 。 通 过 上 述 方式 造成 的 信息 锅 取 ， 难 
以 发 现 和 监控 ， 造 成 安全 事件 很 难 妃 查 ， 造 成 的 安全 损失 也 可 能 是 不 可 挽回 的 ， 所 以 要 引起 
组 织 的 极 大 关注 。 

(2) 相关 风险 点 

信息 的 非 技 术 性 泄漏 风险 点 详 见 表 C-9。 
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表 C-9 


j 户 对 终端 显示 信息 


要 应 用 系统 截屏 ， 造 成 信息 汇 ; 


信息 硬 拷贝 


(a) 相关 资产 生命 周期 : 

以 风险 点 (1-5): 

这 5 个 风险 点 主要 为 通过 使 用 终端 设备 ， ee 在 资 
产生 命 周 期 4 个 阶段 中 ， 人 端的 使 用 ， 通 过 
显示 器 都 可 能 造成 信息 的 泄漏 ， 都 会 带 来 相应 的 安全 风险 。 运 行 阶 段 ， 是 2 5 周期 中 最 
为 重要 的 阶段 ， 该 阶段 用 户 存 储 和 浏览 的 信息 量 很 大 ， 相 关 重 要 信息 数量 较 多 ， 因 此 所 面临 
的 风险 级 别 较 高 。 在 维修 和 报废 阶段 ， 原 则 上 应 该 进行 脱 密 处 理 后 ， 才 能 从 运行 阶段 转 入 该 
阶段 ， 这 时 面临 的 安全 风险 将 会 大 幅 下 降 ， 但 在 维修 和 废弃 阶段 ， 因 信息 处 理 不 及 时 ， 造 成 
的 隐私 、 机 密 信 息 汇 漏 的 案例 比比 缘 是 ， 造 成 很 大 的 影响 ， 因 此 ， 必 须 重视 这 两 个 阶段 的 安 
全 防护 问题 。 

风险 点 (6-7): 

这 两 个 风险 点 主要 是 在 终端 使 用 过 程 中 造成 的 信息 泄漏 ， 与 用 户 的 工作 环境 息 恩 相关 ， 
因此 ， 主 要 涉及 运行 阶段 ， 该 阶段 的 风险 级 别 比 其 他 阶段 的 风险 级 别 高 。 

(b) 相关 信息 风险 

上 述 所 涉及 的 信息 ， 为 屏幕 显示 信息 和 网 络 传输 信息 ， 均 为 使 用 中 的 信息 ， 而 非 存储 类 
言 息 ， 风 险 级 别 有 所 处 理 的 信息 类 型 而 定 。 

(c) 基于 资产 使 用 人 分 析 

对 于 终端 用 户 、 内 部 人 员 、 外 部 人 员 和 临时 人 员 都 存在 不 同 程 度 的 风险 。 

(d) 合 规 性 要 求 

合 规 性 要 求 见 表 C-10。 


表 C-10 


Ee 7.1.4.6 通信 保密 性 
1 通信 保密 性 a) 在 通信 双方 建立 连接 之 前 ， 应 用 系统 应 利用 密码 技术 进行 会 话 初始 化 验证 ; 
b) 在 对 通信 过 程 中 整个 报 文 或 会 话 过 程 进行 加 密 
7.2.3.1 人 员 录 用 
2 c) 应 签署 保密 协议 


d) 应 对 内 部 人 员 中 选拔 从 事 关键 岗位 的 人 员 ， 并 签署 岗位 安全 协议 

7.2.3.5 外 部 人 员 访 问 管理 〈G3 ) 

a) 应 确保 在 外 部 人 员 访 问 受 控 区 域 前 提出 书面 申请 ， 批 准 后 由 专人 全 程 陪同 或 监 
督 ， 并 登记 备案 。 

b) 对 外 部 人 员 人 允许 访问 的 区 域 、 系 统 、 设 备 、 信 息 等 内 容 应 进行 书面 规定 ， 并 按 
照 规定 执行 。 


外 部 人 员 访 
问 管理 
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7.2.5.1 环境 管理 (G3) 
c) 应 建立 机 房 安 全 管理 制度 ， 对 有 关机 房 物理 访问 ， 物 品 带 进 、 带 出 机 房 和 机 房 


环境 安全 等 方面 的 管理 作出 规定 

d) 应 加 强 对 办 公 环 境 的 保密 性 管理 ， 规 范 办 公 环 境 人 员 行 为 ， 包 括 工 作 人 员 调 离 
办 公 室 立即 交还 该 办 公 钥 匙 、 不 在 办 公 区 接待 来 访 人 员 、 工 作 人 员 离 开 座 位 应 确保 终 
端 计算 机 推出 登录 状态 和 桌面 上 没有 包含 敏感 信息 的 纸 档 文件 等 。 


ee 7.1.1.10 电磁 防护 
5 电磁 防护 c) 应 对 关键 设备 和 磁 介质 实施 电磁 屏蔽 


2. 风险 管控 

上 述 风 险 因 为 其 社会 学 的 特点 ， 因 此 很 难 通过 信息 技术 去 解决 ， 具 体 的 控制 措施 如 下 
所 示 : 

(1) 事前 处 置 

1) 制定 相关 的 管理 制度 ， 明 确 针 对 具有 拍照 、 摄 像 、 录 音 等 功能 的 设备 的 使 用 规定 ， 
如 相机 、 手 机 、 摄 像 机 、 录 音 设备 等 。 

2) 对 物理 环境 的 安全 监控 进行 明确 规定 ， 在 重要 区 域 进行 视频 监控 。 

3) 制定 人 员 的 安全 意识 培训 计划 ， 提 高 全 员 安 全 防范 意识 。 

4) 制定 参观 来 访 规定 ， 明 确 规定 参观 访问 方式 。 

5) 制定 应 用 系统 开发 标准 ， 明 确 规定 重要 应 用 系统 不 能 通过 截屏 获得 信息 。 

6) 制定 电磁 辐射 标准 ， 明 确 使 用 电磁 干扰 的 时 间 和 场所 。 

(2) 事 中 处 置 

1) 通过 门卫 或 设备 严格 检查 带 入 办 公 区 的 设备 ， 避 免 视 频 、 照 相 设备 带 入 ， 如 有 带 
入 ， 及 时 劝阻 。 

2) 对 于 截屏 行为 ， 在 应 用 服务 器 端 通过 代码 加 以 控制 。 

3) 重要 区 域 进行 视频 监控 ， 确 保 抄写 、 照 相等 行为 能 够 记录 。 

4) 第 三 方 参观 人 员 参 观 时 专人 陪同 ， 避 免 丽 忽 造成 的 信息 泄漏 。 

(3) 事后 处 置 

如 果 仍 然 出 现 通 过 上 述 途 径 造 成 信息 泄漏 ， 可 通过 出 入 记录 、 视 频 记 录 进 行事 后 
追查 。 

3.， 风险 控制 效果 

通过 上 述 方式 ， 在 事前 、 事 中 和 事后 采取 相应 的 安全 管理 控制 措施 ， 能 够 起 到 一 定 的 防 
护 效果 。 但 是 在 实际 工作 中 ， 还 是 存在 很 大 的 不 确定 性 ， 尤 其 是 使 用 人 员 的 操作 等 方面 ， 因 
此 ， 在 员工 安全 意识 、 职 业 素 养 培训 上 组 织 应 该 给 予 足够 的 重视 。 


C.1.6 人 为 灾害 (3 个 风险 点 ) 


1. 风险 分 析 
(1) 风险 描述 
终端 设备 是 信息 系统 中 使 用 最 为 广泛 和 频繁 的 信息 市 点 ， 具 有 使 用 灵活 、 人 员 众 多 、 暴 
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露 性 较 强 等 特点 。 因 为 与 人 接触 较 多 ， 人 的 行为 对 设备 的 安全 将 会 造成 很 大 影响 ， 因 人 为 因 
素 造 成 的 设备 损坏 和 科 失 的 情况 极 易 发 生 。 

(2) 相关 风险 点 

人 为 灾害 风险 点 详 见 表 C-11， 


隐患 /风险 


人 为 灾害 一 一 
十 ， 、 明 火 、 太 碰 等 原生 风险 隐患 
全 | 人 为 造成 设备 盗窃 、 于 失 原生 风 隐 隐患 


(a) 相关 资产 生命 周期 
上 述 3 个 风险 在 资产 生命 周期 的 4 个 阶段 都 会 有 所 涉及 ， 只 是 其 造成 影响 不 同 。 在 设备 


的 使 用 阶段 ， 如 果 人 为 的 损坏 和 丢失 ， 因 其 正 处 于 服役 期 ， 内 部 存储 和 处 理 的 信息 相对 较为 
重要 ， 如 果 一 旦 损坏 和 丢失 将 会 造成 信息 泄漏 和 工作 中 断 等 影响 ， 因 此 风险 级 别 较 高 。 其 他 
3 阶段 次 之 。 

(b〉 相关 信息 风险 

相关 的 信息 主要 为 存储 在 设备 中 的 信息 。 

(c) 基于 资产 使 用 人 分 析 

无 论 内 部 人 员 、 外 部 人 员 还 是 第 三 方 人 员 都 可 能 面临 上 述 问题 ， 因 此 所 处 级 别 和 岗位 的 
不 同 ， 将 面临 不 同 级 别 的 安全 级 别 。 

(d) 合 规 性 要 求 

合 规 性 要 求 见 表 C-12。 


表 C-12 


7.1.1.2 物理 访问 控 带 
a) 机 房 出 入 口 应 安排 专人 值守 ， 控 制 、 鉴 别 和 记录 进入 人 员 
b) 需 进 入 机 房 的 来 访 人 员 经 过 申请 和 审批 流程 ， 并 限制 和 监控 其 活动 范围 a 
c) 应 对 机 房 划分 区 域 进行 管理 ， 区 域 和 区 域 之 间 设 置物 理 隔离 装置 ， 在 重 3 
区 域 前 设置 交付 或 安装 等 过 渡 区 域 
d) 重要 区 域 应 配置 电子 门禁 系统 ， 控 制 、 鉴 别 和 记录 进入 人 员 


7.1.5.2 数据 保密 性 (G3) 


b) 应 采用 加 密 或 其 他 保护 措施 实现 系统 管理 数据 、 鉴 别 数 据 和 重要 业务 类 符合 
存储 保密 性 
7.1.5.3 备份 和 恢复 (G3) 
备份 和 恢复 a) 应 提供 本 地 数据 备份 与 恢复 功能 ， 完 全 数据 备份 至 少 每 天 一 次 ， 备 份 文件 符合 
刻录 光盘 存放 
2 . 风险 管控 
(1 ) 事前 处 置 


对 设备 的 使 用 编制 使 用 指南 ， 避 免 因 水 、 火 等 原因 造成 意外 损害 ， 确 定 设 备 带 出 的 规 
范 ， 尽 量 防止 设备 的 丢失 ， 不 过 一 切 应 以 保证 人 员 的 生命 安全 为 前 提 。 
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(2) 事 中 处 置 

当 有 安全 事件 发 生 时 ， 根 据 情况 ， 采 取 控 制 措施 。 

1) 如 有 淋 水 现象 ， 及 时 切断 电源 ， 迅 速 提交 给 IT 部 门 进行 处 理 。 

2) 如 遇 丢 失 、 盗 贸 等 ， 及 时 上 报 和 报警 。 

(3) 事后 处 置 

事后 处 理 ， 及 时 总 结 经 验 ， 降 低 事件 发 生 概 率 。 

3， 风险 控制 效果 

不 可 预测 的 人 为 灾害 而 造成 设备 损害 是 不 可 避免 的 ， 因 此 ， 对 信息 事前 的 备份 以 及 加 
密 存储 等 措施 必 不 可 少 。 
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